零信任就够了吗?可能你需要精益信任

什么是零信任

近年来,大规模数据泄露事件层出不穷。动辄上百万甚至上亿的用户信息被批量泄露,从亿万网民到政府要员都不能幸免。日益复杂且频发的网络安全攻击,使得传统基于网络位置来划分内外网,进而判断访问合法性的安全模型不再适用。人们开始思考一种新的网络安全架构。

2010年,IT市场研究机构Forrester的分析师John Kindervag首次提出了零信任网络架构,相比传统网络安全架构,零信任认为任何网络连接都不可信。近两年,国内外厂商纷纷推出了自己的零信任产品或架构。零信任逐渐在网络安全中流行。

从零信任到精益信任

然而,零信任架构的研究和落地过程中,出现了一系列的疑问。

(1)零信任理念中“从不信任,总是验证"是否最优

信任是在两个实体之间建立的双向信赖,零信任的字面含义,意味着实体之间不存在信任,也意味着整个交互过程信任程度的不变,而这将导致交互和业务的难以开展,以及信任等级的过度或不足。

(2)零信任架构如何与业务系统、已有安全手段兼容

已有的零信任方案,比如谷歌的BeyondCorp和Cisco的Duo Beyond方案,其中一个关键改造点是取消VPN,全部采用HTTP、HTTPS和SSH等方式对内网进行访问。这样的改造要求内网业务系统进行大范围的改造,同时已有VPN设备几乎完全得不到复用。此外,很多零信任解决方案只针对身份层面的安全访问问题,对业务系统其他层面的安全问题考虑不充分。

此外,零信任如何低成本落地等问题也成了零信任实践过程中的难题。针对这些问题,国际权威IT研究分析机构Gartner在研究报告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中,认为网络安全应基于风险和信任的监测、评估、学习和调整,最终实现对风险和信任的精益控制。这一目标在报告中被描述为精益信任(Lean Trust)。而零信任只是实现这一目标的第一步。

零信任就够了吗?可能你需要精益信任

和零信任相比,精益信任有以下不同:

1)信任控制理念不同

相比于零信任“从不信任,总是验证”的理念,精益信任通过信任和风险的反馈控制,实现“精确而足够”的信任。对零信任的严格解释,意味着信任永远为零,不具有扩展、变化能力。而精益信任认为信任不是静态的,信任水平会随行为、环境的变化而变化。宏观来看信任也不是二进制的,在可信和不可信之间,应该有中间地带。

2)实现路径不同

已有的零信任架构多围绕身份进行构建,聚焦于身份管理和访问控制。精益信任架构则以风险和信任为中心,与端点检测响应、态势感知、VPN等安全组件进行联动,统筹了内外网的安全监测和控制机制,实现安全架构的重构。身份安全只是精益信任架构的一部分。

总的来说,在精益信任中,业务交互以信任为基石,业务的开展需要信任的建立。并且,信任与风险相伴相生,网络安全不能实现零风险,只能管理风险。风险的管理,通过对信任的控制实现。进一步,还要持续监测评估风险,根据业务的需要和风险的反馈,持续调整信任。这一整个信任与风险的精益控制回路,是精益信任的核心理念。

零信任就够了吗?可能你需要精益信任

精益信任落地架构

基于精益信任理念,深信服实践了精益信任安全架构:

零信任就够了吗?可能你需要精益信任

架构包含精益信任平台和精益信任插件。精益信任平台部署于应用服务区和访问终端之间,对应用服务区进行保护和访问行为控制。精益信任插件部署在访问终端和后端应用系统,负责对终端进行安全认证、威胁保护和设备感知,对应用进行攻击防护和感知检测。

该架构中,精益信任理念的落地,主要分为两个阶段:

1)信任建立阶段:

信任建立前,默认任何用户、设备都不可信。依据身份、设备、环境的多源上下文信息,在信任控制中心对用户、设备进行信任的评估,依据评估结果确定信任等级,建立信任。基于信任等级和资源安全等级,确定访问控制规则,下发安全接入网关,开展业务访问。

2)信任和风险控制阶段:

访问过程中,通过检测分析中心、终端管理中心、身份认证中心,对访问行为、设备状态、环境态势、资源安全等级进行持续的风险和信任评估。依据评估结果,精益调整信任等级以及访问控制规则。持续循环反馈,实现信任和风险的精益控制。

零信任就够了吗?可能你需要精益信任

通过自适应策略,结合按需部署的功能组件,私有化、云化等多种部署方式,实现信任和风险的精益控制。深信服精益信任安全解决方案秉持“面向未来,有效保护”的安全理念,帮助用户构建更匹配业务需求的安全架构!

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-08-12
零信任就够了吗?可能你需要精益信任
什么是零信任近年来,大规模数据泄露事件层出不穷。动辄上百万甚至上亿的用户信息被批量泄露,从亿万网民到政府要员都不能幸免。

长按扫码 阅读全文