再说零信任

访客4年前黑客工具784

什么是零信任?

2010年,由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任(Zero Trust)的概念, 并由Google在BeyondCorp项目中率先得到了应用,很好的解决了边界安全理念难以应对的安全问题。

我们的 *** 无时无刻不处于危险的环境中, *** 位置不足以决定 *** 的可信程度,在安全区域边界外的用户默认是不可信的(不安全的),所有设备、用户和 *** 流量都应当经过认证和授权,遵循最小权限原则,确保所有的访问主体、资源、通信链路出于最安全的状态。

零信任与传统边界安全理念

传统 *** 理念

传统 *** 边界安全防护理念基本可以分为纵深防御和东西向防御,在内网又划分办公区、DMZ区、测试区、外联区等等,每个区域按照不同安全等级划分安全区域,区域间通过防火墙、网闸等 *** 设备进行安全隔离,从而形成了 *** 安全边界,实现对各个安全区域的安全防护。

通过防火墙、IPS等设备组建的安全防护体系默认是边界以外是不可信的,而边界内部则默认是可信的

1608354230_5fdd89b68dee7043894be.png!small?1608354230893

零信任理念

传统安全防护体系在一定程度可以防御外部攻击,但伴随着 *** 攻击日益增多,攻击手段层出不穷的情况,这种体系就无法更好地抵御更高强度的攻击场景。零信任 *** 旨在解决信任问题,假定用户、终端、资源都是不可信的,通过层层动态的安全校验,从用户端到后台服务器建立起一条信任链,实现资源的安全访问,防止非信任带来的安全问题。

1608354352_5fdd8a309e772da1c4947.png!small?1608354352991

相对于传统边界 *** ,对零信任架构来说 *** 位置已经不重要,因为用户每一次对资源访问的请求都需要经过一系列的信任校验和建立。

两种概念对比

综上所述,两种安全防护体系都有各自的显著的优缺点,比如传统安全 *** 结构简单,零信任 *** 架构复杂,下表是两者间的优缺点对比

1608354394_5fdd8a5aeda1c33b58017.png!small?1608354395235

零信任架构

业内尚没有统一的零信任架构标准,比较熟知的架构有SDP软件定义 *** 和NIST提出的零信任体系架构,基于这两种架构,业界根据实践经验,总结出一个较为通用的零信任架构。

1608354428_5fdd8a7ca8b32555b0ea6.png!small?1608354428973

在用户对资源访问模式的零信任实现方案中,涉及的核心元素有:

用户:访问的主体,即真实用户在 *** 中的身份映射

终端:发起访问用的设备,系统环境软硬件及发起访问的可执行程序代码

资源:最终要访问和获取的客体,通常是内网的应用系统

链路:终端访问服务器的 *** 通道、 *** 链路

该架构中的主要功能组件和承载功能如下:

  • 1) 零信任终端agent,主要功能如下:

a)采集终端数据:用于检查终端的安全基线,是否满足对资源访问的安全状态

b)与终端建立授信关系:将终端标记为授信终端,建立绑定关系

  • 2) 零信任 *** ,暴露在外部提供服务的介质,主要功能如下

a) 转发:对用户发起的请求进行认证授权转发,对已正确的请求进行资源访问转发

b)拦截:对禁止访问的请求进行拦截阻断,拦截不可信的 *** 流量

  • 3)零信任控制中心,主要功能如下:

a)认证:对用户、终端身份进行认证和授权

b)持续访问控制:访问控制策略,动态安全检测,动态防护响应

应用场景

1. 远程办公

2020年因为疫情的关系,各大公司员工开启了远程办公,在这种情况下也会带来一系列的安全风险,对此远程办公需求进一步地推动了零信任理念的发展。从远程办公的业务需求上来看,主要有以下业务场景:

普通办公需求:主要需求是访问公司的OA、知识系统、邮件以及IM等

运维需求:运维工程师通过远程登录运维管理平台,对操作系统、服务器进行远程维护等

开发需求:远程访问代码仓库、构建开发环境

传统VPN远程访问系统的情况下,存在的问题有:

1)无法判断访问主体终端的安全性,一旦有病毒,有作为跳板机攻击企业内网的风险

2)无法进行精细化、动态化的权限控制

针对以上问题,在零信任远程办公方案中,零信任网关暴露在外网而内部资产被隐藏,通过可信身份、可信设备、可信应用、可信链路,建立信任链的方式来访问资源,确保安全地访问企业资源。

2. 多分支结构

具有一定规模的公司,员工分布在全国/全球各地的分公司或办事处,他们都有访问集团内部资源的需求,有些企业不一定购买价格高昂的运营商专线到集团内网,若通过VPN访问则存在安全性不足, *** 不稳定等问题。

1608354478_5fdd8aae51313a84e3ae5.png!small?1608354478608

使用了零信任 *** 架构设计不再区分内网、专线、VPN等接入方式,通过将访问流量统一接入零信任 *** 、零信任访问控制与保护引擎(零信任安全控制中心),实现在任意 *** 环境下的内部资源访问。

企业通常会遇到系统权限滥用,平行越权、垂直越权等问题,通过零信任则可以根据集团的组织架构设置员工角色访问策略,对访问的业务系统进行权限细粒度授权,不可越界。保障访问人员身份、设备、链路安全的同时,用户权限也会得到有效控制。

零信任落地

零信任属于比较新的安全理念,因此在业内真正落地的案例屈指可数,国内外的安全厂商的解决方案也是参差不齐,无论是自研还是和第三方厂商合作,在落地零信任落地时都要根据自身业务系统建设阶段、人员和设备管理情况、现有 *** 环境、企业 *** 安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑。

在实施过程中,应该考虑以下因素:

1)有专门的安全团队和人员牵头和推进实施。

2)制定零信任的安全目标,可分为终极目标和阶段性目标。

3)业务部门的充分理解和配合

4)梳理现有 *** 环境,明确范围,制定实施方案

5)确保业务连续性,做好回滚方案

以上环节中,重中之重无疑是实施了,在实施规划中,需要做好以下几点:

对接业务系统列表。包括业务系统名称及其责任人,优先级,访问地址,测试范围

上线基础环境。涵盖每个阶段实施的内容,完成时间点及目标,域名,通配符域名授信证书、IP规划、IAM对接手册等等。

设备清单。包含设备配置步骤,零信任 *** 网关,控制中心环境,为了避免遇到性能问题,尽可能使用硬件设备。

*** 拓扑。包含实施前后拓扑,将接入零信任后的数据流程图梳理清楚,方便后期维护与管理。

人员分工。明确参与人员的工作,并为每个实施环节准备checklist,确保每一步实施是清晰地,可控的。

风险评估。为每一个环节做一个风险评估,如何降低风险,出现问题后该如何应对,结合企业内部的业务连续性流程进行制定相关的

展望

在 *** 安全备受关注以及远程办公背景下,加快了零信任的发展,零信任也越来越受到 *** 部门和业务的关注。伴随着大数据中心,工业互联网、5G *** 等新基建的快速发展,相信零信任也会很快地在各个领域得到应用,对此也希望我们能够不断完善零信任理念和架构,制定出一套完整的零信任技术标准,将 *** 安全推向一个新高度。

标签: 再说零信任

相关文章

黑客教你3分钟盗微信号 五分钟盗微信号方法

在威信有一个有趣的方式来玩漂浮的瓶子。当你心情不好的时候玩它是很好的。但仍有许多用户不知道如何玩。下面是如何玩威信的浮动瓶。 盗微信号 黑客教你3分钟盗微信号 游戏介绍: 五分钟盗微信号方法 1...

怎样查询别人的微信记录查询(微信记录查询app靠谱是真的吗?)

【微信:】专业开房查询,同住人信息查询,通话记录查询,查询微信聊天记录,十分靠谱! 我相信有很多人在使用手机,喜欢用微信和朋友聊天,分享生活等等,使用起来很方便,这是越来越多的朋友离不开微信。那么,在...

怎么偷上别人的微信 并且对方不知道?

每日要闻这个应该是不可能的,除非他以前在你手机上用过并且没有删除,而且他也不记得了,半夜三更试试 这样登陆别人微信,会不会被发现? 登陆别人微信,那人要是没有微信,就不发现,要是有微信,他登陆接收...

魔兽怎么赚钱快?魔兽世界怀旧服赚钱方法攻略

魔兽怎么赚钱快?魔兽世界怀旧服赚钱方法攻略

魔兽世界怀旧服赚钱方法攻略 职业双采可以在日常轻松赚钱,具体职业专业如下: 1、推荐法师必学的专业是裁缝。 2、术士单刷厄运之椎副本。 3、推荐牧师必学的专业技能是剥皮。 4、德鲁伊必学的专...

怎么监听别人的手机通话记录

. 秋高气爽,也有不一样的美景和心情,秋天也是一个美丽的季节,你会有怎么样的心情和感悟呢,或孤独,或悲伤,或喜悦多多,秋天怎么发朋友圈说说?下面友谊长存小编带来介绍。 适合秋天发的朋友圈句子 天...

先做再付黑客联系方式

当然有了,但是偷qq,盗微信之类的事儿,我是做不了的。我只能渗透别人的有漏洞的网站。有需要的话,给我百度留言吧。 要做什么呢?盗号攻击网站我不会你有什么问题说说我能帮上的我帮你不用钱 有些是私人搭建在...