零信任概念,架构和实施
视频来自:https://www.bilibili.com/video/BV1Jv411q7WX
信任的代价是昂贵的
举了波音缺陷的例子:
为什么黑客能够得逞攻击
利用了一些常识性的误导
(外网是不可信的,内网是可信的)
内网之间很少做安全防护和管控
信任本身是可以被利用的,利用的结果就是造成损失。
零信任的核心观点
机器之间的信任是不存在的。从现在开始,没有可信区域。
2018年互联网安全大会上中国开始提出零信任的概念。
创始人:john
John的原图:
(IP)数据包不能代表人,内外网的边界已经模糊掉了,所有流量都要检查,用户需要认证。
Never trust ,always verify
零信任的好处
传统网关和防火墙内部,因为零信任对所有数据流做安全监管,对所有数据做了可视可控。(只有可视,才能可控)。
防止攻陷。
零信任是一个虚的概念,要具体落地。
零信任的部署
1.分清核心业务:总统奥巴马
2.从重资产到轻资产
3.分清有谁去访问,需要用数据做什么
4.检查和记录所有的流量
提出了微隔离和微边界的概念
ZTX
ZTA
北美:
国内对于ZTA的解读:
南北:软件定义边界(目前的网关和firewall)
东西:微隔离(容器,虚拟化等等)
零信任的实施:官方的介绍
1.定义保护范围:定义资产和安全等级要求
2.映射整个的事务流程:workflow(数据流程,业务流程)
3.建设零信任网络:购买相关产品构建网络(网络中首先有这些设备)
4.创建零信任策略:使用相关产品进行策略编辑和管控(真的用好这些设备)
5.持续的监管和运维(持续的保证系统啊健康稳定)