零信任概念,架构和实施

最新推荐文章于 2023-12-25 17:05:57 发布
最新推荐文章于 2023-12-25 17:05:57 发布
阅读量502 收藏 3
点赞数 3
分类专栏: 全栈安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whstudio123/article/details/120616973
版权

零信任概念,架构和实施


视频来自:https://www.bilibili.com/video/BV1Jv411q7WX

信任的代价是昂贵的

举了波音缺陷的例子:
在这里插入图片描述

为什么黑客能够得逞攻击

在这里插入图片描述

利用了一些常识性的误导
(外网是不可信的,内网是可信的)
内网之间很少做安全防护和管控
信任本身是可以被利用的,利用的结果就是造成损失。
在这里插入图片描述

零信任的核心观点

机器之间的信任是不存在的。从现在开始,没有可信区域。
在这里插入图片描述2018年互联网安全大会上中国开始提出零信任的概念。

创始人:john

在这里插入图片描述John的原图:
在这里插入图片描述
(IP)数据包不能代表人,内外网的边界已经模糊掉了,所有流量都要检查,用户需要认证。
Never trust ,always verify

零信任的好处

在这里插入图片描述
传统网关和防火墙内部,因为零信任对所有数据流做安全监管,对所有数据做了可视可控。(只有可视,才能可控)。
防止攻陷。
零信任是一个虚的概念,要具体落地。
在这里插入图片描述

零信任的部署

在这里插入图片描述
在这里插入图片描述1.分清核心业务:总统奥巴马
2.从重资产到轻资产
3.分清有谁去访问,需要用数据做什么
4.检查和记录所有的流量

提出了微隔离和微边界的概念

ZTX

在这里插入图片描述

ZTA

北美:
在这里插入图片描述

国内对于ZTA的解读:

在这里插入图片描述在这里插入图片描述
南北:软件定义边界(目前的网关和firewall)
东西:微隔离(容器,虚拟化等等)

零信任的实施:官方的介绍

在这里插入图片描述1.定义保护范围:定义资产和安全等级要求
2.映射整个的事务流程:workflow(数据流程,业务流程)
3.建设零信任网络:购买相关产品构建网络(网络中首先有这些设备)
4.创建零信任策略:使用相关产品进行策略编辑和管控(真的用好这些设备)
5.持续的监管和运维(持续的保证系统啊健康稳定)
在这里插入图片描述

Google 的beyond corp 与ZT的异曲同工之妙

在这里插入图片描述

公司产品:安全访问服务边界

在这里插入图片描述在这里插入图片描述

whstudio123
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是零信任零信任的好处有哪些?
nidengxia的博客
04-27 8601
1.零信任的定义 零信任,验证全部,保持统一的控制 — 这就是 Zero Trust 的本质。零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。 简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。 2.零信...
什么是零信任
weixin_52272797的博客
07-02 6479
零信任的核心思想是:默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。
零信任和SASE深入理解--概念架构和实现方案
网络安全研究
12-21 2083
零信任:新的思路,新的架构,新的实现方案
零信任架构
polarday的博客
06-09 3382
物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。 但随着业务迁移到云端,APT攻击的泛滥,以及移动办公的趋势,传统的安全边界变的模糊,既然网络和威胁已经发生了变化,我们的防御模型也要跟着变化。零信任是一种安全模型。首先我们要抛弃传统的边界观念,不再依据用户所处的网络位置而决定这个人是否可信。取而代之的是我们对每个请求都进行严格验证 信任建立起来之前,网络上的任何资源都是
零信任网络架构建设及部分细节讨论(企业高管必看!)
MachineGunJoe666
05-25 1826
01 零信任初识 困境 传统的IT组网中,网络安全需求的落地往往把重心放在以下工作: 1. 精心设计的网络结构,如:带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离等; 2. 在网络边界部署专用安全“盒子”设备上,如:F5、IPS、WAF、DDOS等。 这些经典的网络安全部署方案,长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展,传统安全方案的缺点越来越明显。 1. 整体防御能力重边界、轻纵深,面对攻击者的横向扩展束手无
零信任安全架构发展趋势 .pdf
最新发布
02-01
零信任安全架构的应用场景包括但不限于:企业网络、云计算环境、移动设备、远程办公和远程访问、供应链安全、物联网(IoT)设备安全、应用程序安全和数据安全,将对零信任安全落地实践发展趋势进行分析。
Google零信任安全架构解读.docx
09-15
Google零信任安全架构解读.docx
零信任边缘网关架构与实现
02-16
1、一份关于如何实现零信任边缘网关的资料
Google零信任安全架构.rar
09-10
BeyondCorp实际上是抛弃了对本地内网的信任,进而提出了一个新的方案,取代基于网络边界构筑安全体系的传统做法。在这个新方案中,Google对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权。Google公司...
中通零信任安全架构的探索和实践.pdf
08-10
背景介绍 零信任安全架构探索 零信任安全架构实践
零信任(Zero Trust)介绍
weixin_73450437的博客
08-26 4186
未来已来,只是尚未流行,未来的安全趋势是零信任网络。 传统的基于边界的网络安全方法是先连接,后信任,在网络边界验证用户身份,确定用户是否值得信任。如果用户被认定为是可信任的,就能进入网络,而一旦通过边界进入到网络内部,访问基本就通行无阻了。反之,用户会被拦截在外。这种保护方式有很多种称谓:城堡护城河式保护,类似于中世纪的城堡一样,防外不防内,或者蜗牛式保护,外壳坚硬而内部柔弱。 传统网络安全架构默认内网是安全的,认为网络安全就是边界安全,因此通过在边界部署大量的安全产品如通过防火墙、WAF、..
零信任的基本概念【新航海】
数据安全学习分享
07-31 2820
零信任」既不是技术也不是产品,而是一种安全理念。任何访问业务、数据、网络、代码的“源”都需要做验证,以此证时这个“源”是安全的后,再将其接入到需要访问的某个特定应用、数据、网络、代码上;在访问特定应用、数据、网络、代码的过程中,零信任会持续验证身份,直到停止使用或被中断。...
零信任架构分析【扬帆】
数据安全学习分享
07-31 2939
以身份为中心:零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。 零信任架构通常执行三项主要原则-永不信任,始终验证、多因素身份验证(MFA)是必须的,而微隔离对于执行限制至关重要。为了实现零信任安全,组织需要采用信息安全扩展端点可见性并实现对访问和特权的控制的实践和工具。......
什么是零信任呢?
weixin_40191861的博客
06-10 394
这一定义来自于NSTAC的报告,这是一份由美国国家安全电信咨询委员会于2021年编制的共56页的零信任文件,该委员会由AT&T前首席执行官领导的数十名安全专家组成。在一次采访中,创建该术语的Forrester Research前分析师John Kindervag指出,他在他的零信任词典中定义:零信任的最初战略意义是通过消除数字信任来防止数据泄露,零信任应该可以通过现有的技术手段进行部署并在未来不断地迭代提升。考虑到公司的资源,一些人认为,寻求一种衡量可信度的算法与零信任的理念背道而驰。
简述什么是“零信任
he_tao225的博客
07-14 3774
零信任不是不信任,而是要缩小默认的信任边界 零信任是为了建立更好的网络安全秩序 零信任概念 所谓零信任,英文叫做“Zero Trust”。为什么要叫做零信任,人和人之间不能真诚点儿吗?可是在网络世界我们真的很难真诚。有幅漫画“在互联网上,没人知道你是一条狗”。所以在网络世界,我们一直在寻求能够去验证的方法。比如,登录微信需要注册、使用手机验证码等。在企业网中我们也会采用边界管理(如:防火墙、准入控制等)阻挡不可信的人员或者设备接入我们的网络。 可是随着技术的发展,威胁的增加,通过了用户验证,通过了防火墙、准
什么是零信任网络架构
lavin1614
02-23 2514
零信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA 方法,信任永远不会被隐式授予,必须不断评估。ZTNA - 也称为零信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。作为一种安全架构零信任的目标是为数据和应用程序提供更安全的访问,即使是远程工作人员也是如此。
一文说清什么是零信任
weixin_40191861的博客
06-10 427
零信任概念最早是在2010年由当时的Forrester分析师John Kindervag提出。零信任承认了在分布式网络环境下传统边界安全架构的不足,认为主机无论处于网络什么位置,都应当被视为互联网主机,它们所在的网络,无论是互联网还是内部网络,都必须被视为充满威胁的危险网络。默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。身份是访问控制的基础信任来自于端到端所有对象的身份,基于身份而非网络位置构建访问控制。最小权限原则。
零信任简介
叼根棒棒糖打天下的博客
06-27 878
零信任概念,特点,思想
白话零信任02:第二、三章零信任概念架构
caoxiaoye的博客
12-25 1067
网络不可信设备不可信系统不可信人不可信随时假设你的网络已被入侵。
nist 零信任架构 pdf
07-15
### 回答1: NIST(国家标准与技术研究所)零信任架构是一份PDF文档,旨在引导组织在网络安全领域采用零信任策略。零信任架构是一种安全模型,强调不信任任何用户或设备,而是将安全重点放在对资源和数据的保护上。 这份PDF文档提供了针对不同组织实施零信任策略的指导原则和实践建议。文档中首先介绍了零信任架构的基本概念和优势,解释了为什么传统的边界防御方式已经无法应对日益复杂的网络安全威胁。随后,文档提供了实施零信任策略的基本步骤和关键组件,包括身份验证、授权、访问控制、监控和审计等。 NIST零信任架构PDF文档还详细介绍了如何在组织中部署零信任策略,包括如何建立可信赖的身份验证系统、实施精细化的访问控制和权限管理、加密通信和数据保护、身份和访问管理的监控与审计等。此外,该文档还提供了一些案例研究和实施建议,以帮助组织更好地理解和应用零信任架构。 总之,NIST零信任架构PDF文档是一份有关零信任策略的指南,旨在帮助组织实施更强大的网络安全防护措施。通过遵循文档中的原则和建议,组织可以更好地保护其资源和数据,降低遭受网络攻击和数据泄露的风险。 ### 回答2: NIST零信任架构PDF是国家标准与技术研究院(NIST)发布的关于零信任安全架构的指南文件。 零信任架构广泛应用于信息安全领域,它以“不信任、始终验证”为基本原则,认为任何系统都有可能遭受攻击,因此不能仅依赖单一防御机制,而应采取多层次的安全措施。 NIST发布的零信任架构PDF对零信任安全架构的基本概念和原则进行了详细阐述。它指出,传统的边界防御已不再足够,内部和外部网络都是不可信的。该架构强调了身份验证、访问控制、连续监控和风险评估等关键元素。 零信任架构PDF提供了实施零信任策略的指导和建议。其中包括了身份验证和授权的最佳实践,例如多因素身份验证和适当权限分配。另外,该指南还推荐了使用零信任架构时的技术和工具,例如身份和访问管理(IAM)和行为分析。 通过采用NIST的零信任架构PDF,组织可以更好地应对现代威胁和攻击。它提供了一种将安全重心从边界转移到数据和用户层面的新方法,帮助组织建立起基于风险评估的访问控制策略,提高安全性和系统的可信度。 总之,NIST零信任架构PDF是一份重要的指南文件,为组织提供了实施零信任安全架构的指导和建议。它帮助组织采取全面的安全措施,打造多层次的防御体系,提高安全性和数据保护水平。 ### 回答3: NIST零信任架构PDF是一份由美国国家标准与技术研究所(NIST)发布的关于零信任架构的指南文档。零信任架构是一种安全架构理念,它基于"不信任,始终验证"的原则,将安全控制从传统的基于网络边界的模式转变为更细粒度的控制。这种架构的目标是在提高安全性的同时,降低安全风险。 NIST的这份指南文档旨在帮助组织理解并实施零信任架构。它提供了关于零信任架构概念、原则以及相关技术的详细介绍。文档中包括了零信任环境中的身份验证、授权、访问控制、设备安全、数据保护等关键问题的指导建议。 该文档的主要内容包括零信任架构的设计原则、安全控制要素以及实施步骤等。它强调了基于风险的决策方法,要求在每个访问请求中进行身份验证和授权,不论是内部用户还是外部用户。此外,文档还提供了有关如何识别和保护敏感数据以及监控和响应安全事件的指导。 通过使用NIST零信任架构PDF,组织可以更好地理解并应用零信任架构的原则和技术,以提高其安全性和对外部威胁的防御能力。这个架构的目标是确保在当前复杂的网络环境中,组织可以始终实施必要的安全控制措施,以降低来自内部或外部的潜在风险的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值