自2010年约翰·金德维格(John Kindervag)首次提出了零信任安全的概念之后,已经有十年时间。零信任安全理念已经在国外已经被广泛应用,在国内零信任安全也引起了国家相关部门和业界的高度重视。而今年备受关注,是被关注的热点之一。
众所周知,零信任是一种基于严格身份验证过程的网络安全模型。该框架规定,只有经过身份验证和授权的用户和设备才能访问应用程序和数据。同时,它可以保护这些应用程序和用户免受互联网上高级威胁的侵害。该模型可以更有效地适应现代环境的复杂性,无论人在何处,都可以有效的保护设备、应用程序和数据安全,对于数字化转型及企业网络安全架构来说,都越来越重要。
云深互联陈本峰表示,“零信任安全的中心是数据。传统的防火墙或者密码策略并不能有效的阻止外部攻击,而零信任框架可以针对数据泄露和网络威胁提供可靠的防御。熟悉了解零信任的工作原理及模型原则,可以对安全防御有更多的了解,今天跟大家分享一下对零信任安全模型的认知。”那么,到底什么是零信任安全模型呢?
零信任安全的工作原理
零信任安全是涉及多种技术和流程的网络安全方法,而且前面讲到,它的核心是数据安全性。所以,数据安全是零信任架构的重点领域。包括Forrester也建议针对重点领域需建立最佳的零信任安全策略。
图 零信任安全模型
· 零信任数据:零信任首先要保护数据,然后再构建其他安全层。由于数据是攻击者和内部威胁的最终目标,因此,零信任框架的第一关注点就是数据。需要对数据进行实时监测和响应。
· 零信任网络:零信任技术可以对网络进行分段、隔离和限制,阻止攻击者进入网络窃取数据。
· 零信任人员:网络安全其实是人的安全,人是安全策略中最薄弱的环节。零信任模型没有假设公司防火墙后面的所有信息都是安全的,而是假设违规并验证每个请求,就像它是来自开放网络一样。无论请求来自何处或访问什么资源,零信任都会教我们“永远不要信任,永远要验证”。在授予访问权限之前,每个访问请求都经过完全身份验证,授权和加密。微隔离和特权最小的访问原理被应用以最小化横向移动。丰富的情报和分析功能可用于实时检测和响应异常。
· 零信任工作负载:工作负载是基础架构和运营团队所使用的术语,意指使您的客户与您的业务交互的整个应用程序和后端软件堆栈,从存储到操作系统到Web前端,将整个堆栈视为威胁,并使用符合“零信任”标准的控件对其进行保护。
· 零信任设备:由于网络上设备的数量在过去几年中呈爆炸式增长,而这些连接的设备中的每一个都可以作为攻击者渗入网络的入口点。所以,零信任安全团队应该能够隔离,保护和控制网络上的每台设备。
· 可见性分析:高级威胁检测和用户行为分析是掌握网络中任何潜在威胁的关键,便于实时识别异常行为。执行“零信任”原则,可以让安全事件响应团队及时了解网络中发生的事情,并进行分析。
· 自动化和编排:自动化有助于零信任安全系统的正常运行,并执行零信任策略。
零信任安全模型的3条原则
零信任是一种基于严格身份验证过程的网络安全模型。其有3个基本原则:
图 零信任原则
1. 对资源访问进行身份验证
零信任的第一基本原理是对资源访问进行身份验证。我们必须假定在访问网络时都是具有威胁的,所以每次用户在访问共享文件、应用程序、云存储设备时,都需要重新进行验证。
2.采用最小特权模型并执行访问控制
最低权限的访问模式是一种安全模式,因为通过限制每个用户的访问权限,可以防止攻击者使用一个受感染的帐户来访问大量数据。
3.检查并记录所有内容
零信任原则要求检查和验证所有内容。记录每个网络呼叫,文件访问和电子邮件中是否存在恶意行为,这样可以分辨出正常登录或异常登录之间的区别。
零信任安全模型的实施
文章开头,我们提到了零信任的核心是数据。对于如何利用零信任架构保护数据,有以下几点:
· 识别敏感数据:在保护数据之前,需要找出敏感数据所在的位置,并明确数据的访问权限。
· 限制访问:确定了敏感数据后,请检查以确保只有需要访问权限的人员才能访问。这将限制敏感数据的暴露,并使黑客更难获得访问权限。
· 检测威胁:了解敏感数据的位置并限制对其的访问是建立“零信任”的关键的一步。接下来,需要能够检测数据是否有异常行为。并将当前行为与先前行为的基准进行比较,然后应用安全分析和规则以检测来自内部或外部的网络安全威胁。
写在最后:
零信任作为一种信息安全架构,要求对网络内部或外部的访问采用“永不信任,始终验证,强制执行最小特权”的方法。通过实施最少特权访问,组织可以最大程度地减少攻击面,提高审计和合规性可见性,并降低现代混合型企业的风险,复杂性和成本。
2019年,Gartner发布的《零信任网络访问市场指南》中对零信任安全的市场进行了详细的描述。“随着零信任逐步被众多企业熟知和应用,而且,零信任相对传统安全具有更好的优越性,未来零信任的市场占有率将会越来越大,未来,可期。”云深互联陈本峰如是说。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )