- 零信任技术
(一)什么是零信任架构
零信任”是一个安全术语也是一个安全概念,它将网络防御的边界缩小到单个或更小的资源组,其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限,应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问只有当资源需要的时候才授予。 简单来说,“零信任”的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都无法接入到网络。现有传统的访问验证模型只需知道IP地址或者主机信息等即可,但在“零信任”模型中需要更加明确的信息才可以,不知道用户身份或者不清楚授权途径的请求一律拒绝。用户的访问权限将不再受到地理位置的影响,但不同用户将因自身不同的权限级别拥有不同的访问资源,而过去从外网登陆内网所需的VPN也将被一道废弃。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。 这与无边界网络概念有点类似。在无边界网络概念中,最终用户并不是所有都位于办公室以及防火墙后,而是在远程工作,使用他们的iPad或者其他移动设备。网络需要了解他们角色的更多信息,并明确哪些用户被允许连接网络来工作。 零信任架构是对企业级网络发展趋势的回应,企业级网络开始包含远程用户和位于企业网络边界的基于云的资产。零信任架构关注于保护资源、而非网络分段,因为网络位置不再被视为资源安全态势的主要组成部分。
(二)零信任的核心原则
(1)将身份作为访问控制的基础: