网络安全-零信任安全

news2024/11/15 4:34:05

本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷)

本文为追加文章,后期慢慢追加

零信任的概念

零信任技术体系是一种安全架构和策略,其核心理念是不信任任何用户或设备,而是通过不断验证和授权用户、设备和应用程序的身份和权限来保护网络和数据安全。

在传统的网络安全模型中,通常会侧重于保护边界,即在企业网络内部和外部之间建立防御墙来阻止未经授权的访问。然而,随着云计算、移动设备和远程工作的普及,边界不再明确,传统网络安全模型变得日益无效。

零信任技术体系采用了一种“永远不信任,始终验证”的策略,不论是在企业网络内部还是外部,所有用户、设备和应用程序都需要进行身份验证和授权才能访问网络资源。这种策略依赖于多个安全层次,包括身份验证、访问控制、用户行为分析和网络段隔离等,以确保只有授权用户和设备才能访问敏感数据和应用程序。

零信任技术体系的好处包括更高的数据安全性、更好的用户体验、更灵活的工作方式和更容易满足合规性要求。然而,实施零信任技术体系也面临一些挑战,如复杂性、对现有基础设施的依赖性和对员工的培训和教育等。

因此,采用零信任技术体系需要综合考虑组织的需求、资源和风险承受能力,以确保有效地实施和管理这一安全架构。

零信任三大技术架构

零信任SDP(Software-Defined Perimeter)

零信任SDP(Software-Defined Perimeter)是一种网络安全架构,它的主要目标是为企业提供更高级别的安全保护,特别是在面对日益复杂的网络威胁时。与传统的网络安全模型不同,零信任SDP基于一种“零信任”理念,即不信任任何用户或设备,并要求对每个连接进行验证和授权。

零信任SDP基于软件定义网络(SDN)和一系列安全控制策略来实现。它通过在网络边缘创建一种被称为“黑云”的安全边界,只允许授权用户和设备通过连接到企业资源。这些连接是基于具体的用户身份、设备健康状况、访问权限等因素进行验证和授权的,从而确保只有合法用户能够访问敏感数据和系统。

零信任SDP的优势包括:

  1. 增强的安全性:通过实施多重身份验证和授权机制,零信任SDP可以大大降低网络攻击的风险,提高企业数据和系统的安全性。
  2. 灵活性和可扩展性:零信任SDP可以适应不同规模和类型的企业网络环境,由于其基于软件定义的特性,可以轻松地进行配置和扩展。
  3. 可视化和集中管理:零信任SDP提供了一种集中管理和可视化监控的方式,使企业能够更好地了解和管理网络连接和安全策略。
  4. 最小网络暴露面:零信任SDP将网络资源隐藏在黑云之后,只允许经过严格验证和授权的用户和设备访问,从而最小化了网络攻击的可能性。

总的来说,零信任SDP是一种高级的网络安全架构,可以提供更高级别的安全保护,对抗日益复杂的网络威胁。它可以帮助企业建立一个更加可靠和安全的网络环境,保护企业的数据和系统免受未经授权的访问和攻击。

零信任IAM(Zero Trust IAM)

零信任IAM(Zero Trust IAM)是一种安全策略,它将身份和访问管理与零信任安全模型相结合,以实现更高级别的数据保护。传统的身份和访问管理模型通常假设内部网络是可信的,因此只关注对外部网络的访问控制。然而,随着网络攻击和数据泄露事件的增加,零信任安全模型的理念已经提出,要求对所有用户和设备的访问进行验证和授权,无论其位置和网络环境。

零信任IAM采用多层次的安全控制措施来确保用户只能访问其所需的资源。这包括身份验证、访问控制、权限管理和会话管理等功能。与传统IAM模型相比,零信任IAM模型强调了更加细粒度的访问控制和透明的可见性。

零信任IAM的关键原则包括:

  1. 最小化特权:用户只能获得完成任务所需的最低权限,不可信任的用户或设备需要额外的身份验证和授权。
  2. 连续身份验证:用户在访问资源时需要进行身份验证,而不仅仅是在登录时验证。
  3. 权限动态调整:根据用户的活动和环境条件,及时调整用户的权限。
  4. 多因素身份验证:通过多个身份验证因素来增加安全性,如密码、生物识别、硬件令牌等。
  5. 日志和审计:记录用户的访问和操作日志,以便追踪和分析安全事件。

通过采用零信任IAM策略,组织可以更好地保护其敏感数据和资源,减少数据泄露和未经授权访问的风险。同时,零信任IAM也提供了更灵活的访问管理和用户体验,使用户能够更方便地获取所需的资源。

零信任(Zero Trust)MSG 微隔离

微隔离技术是用于实现东西向安全的**(服务器跟服务器间的安全)**。微隔离是零信任架构的重要组成部分。
零信任微隔离(Zero Trust Micro-segmentation)是一种安全架构和策略,旨在保护网络和数据资源免受内部和外部威胁。传统网络安全模型通常依赖于防火墙和边界控制来保护网络内部。然而,随着云计算、移动设备和远程工作的普及,传统边界保护已经变得不够有效。

零信任微隔离模型基于以下原则:

  1. 怀疑一切:不信任任何设备、用户或应用程序,并且要求验证身份和权限。
  2. 细粒度访问控制:对网络资源和数据进行细粒度的访问控制,确保只有授权的用户和设备可以访问特定的资源。
  3. 最小化特权:仅授予用户和设备所需的最低权限,以减少潜在攻击面。
  4. 完整性保护:监控网络流量和数据传输,检测和防止异常活动和数据泄露。
  5. 实时监控和响应:实时监控网络活动,及时检测和响应潜在安全事件。

零信任微隔离通过将网络分段成多个微细粒度的区域,限制不同用户和设备之间的通信,从而有效地隔离和保护敏感数据和系统资源。此外,它还使用身份认证、访问控制和加密等技术来确保只有授权的用户和设备可以访问和使用资源。

零信任微隔离可以增强网络安全性,减少潜在攻击面,并提供更高的可见性和控制。它适用于各种组织和行业,特别是对于需要保护敏感数据和遵守合规性要求的企业来说,是一种重要的安全措施。

零信任SDP

SDP的5重认证机制:

  1. SPA(单包授权认证):控制器只有接收到了客户端发出的SPA包,验证合法之后,控制器才对该客户端的IP开放指定客户端认证的端口。这个技术可以屏蔽绝大多数非法用户的网络攻击,让漏洞扫描、DDoS等攻击方式都失效。
  2. MTLS(双向认证):网关跟客户端的通信是加密的,而且是双向认证,网关认证用户,用户也要认证网关。双向的认证保证了中间人攻击无法奏效。
  3. 动态防火墙:经过SPA认证后,网关会放行指定端口。但端口放行是暂时的,几秒内没有操作,端口就会自动关闭。最大限度提高防护强度。
  4. 设备验证:SDP不止验证用户身份,还要验证用户设备。设备的验证包括设备健康状态的验证,如是否装了杀毒软件等等。设备验证还包括设备证书的验证,只有合法设备才会安装证书,证书参与通信数据的加密过程。保证连接都是来自合法设备的。
  5. 应用绑定:用户只能访问有授权的应用。这符合“最小化授权”原则,保证了威胁无法横向蔓延。
访问流程图

数据流向图

  • SDP控制器:SDP的大脑,主要进行主机认证和策略下发,还可以用于认证和授权SDP连接发起主机、配置到SDP连接接受主机的连接
  • SDP连接发起主机:终端用户设备或者可以被称为SDP客户端
  • SDP连接接受主机:SDP网关或者边界

数据流详情如大佬的文章https://www.cnblogs.com/Dreamboat1218/p/14451846.html

SDP优势和功能
  1. 基础设施隐藏: 终端用户设备在通过身份验证授权之前,SDP控制器和SDP网关不会响应任何连接请求。
  2. 减少Dos攻击: 面向互联网的服务都处于SDP网关的后面,可以抵挡DOS攻击,SPA可以保护SDP网关免受DOS攻击。
  3. 检测错误包: 从任何其他主机到SDP客户端的第一个数据包是SPA 数据包(或类似的安全构造)。如果SDP网关收到任何其他数据包,则将其视为攻击。
  4. 防止越权访问网络: 设备只能访问策略允许的特定主机和服务,不能越权访问网段和子网。
  5. 应用程序和服务访问控制: SDP 控制允许哪些设备和应用程序可访问特定服务例如应用程序和系统服务。
SDP缺点
  1. 零信任实施策略可能会造成安全差距 :SDP技术架构实现主要是实现边界的安全零信任,可能会出现安全差距或真空地带,使零信任方案看上去不像宣传的那样好。
  2. 客户的网络架构可能无法适应零信任:基础设施隐藏这个功能是相对的,对于对外的应用系统(如门户网站等),零信任SDP无法保障这些系统的安全问题,这就要依靠传统安全进行安全防护,将对外的应用系统隔离到一个DMZ区,进行安全防护,和内网隔离。
  3. 零信任并非没有安全风险:用户凭据仍然可能被泄露;零信任管理员帐户凭据是有吸引力的目标。

零信任IAM

(其实感觉和传统的IAM没有什么区别,哪个大佬评论指点一下)

核心功能

MFA(多因子身份认证)
提供多样的身份认证管理,业务系统基于不同用于用户提供统一的认证接口,根据用户的权限级别来确保对应业务安全级别的准确性。使用MFA(多因子身份认证)对用户凭据进行额外的安全保护,可以抵御各种网络威胁。

SSO
保障用户的安全接入,一次登录实现各业务系统的统一访问,无需再次登录鉴权。解决组织多应用,多账号管理繁琐的问题。

动态访问控制
基于可信的终端、应用、身份、流量、上下文信息,进行细粒度的风险度量和授权,实现动态访问控制。

风险识别
基于用户行为的风险识别,支持根据用户所在地点、终端、访问习惯等场景信息,制定差异化的认证策略,并根据用户登录场景的变化,动态调整认证策略,触发基于不同场景下的安全认证策略。

用户行为审计
从用户请求网络连接开始,到访问服务返回结果结束,所有的操作、管理和运行更加可视、可控、可管理、可跟踪。实现重点数据的全过程审计,识别并记录异常数据操作行为,实时告警,保证数据使用时的透明可审计。

IAM优势
  1. 加强安全性并降低风险:以用户身份包括属性、角色、组和动态组作为对授权策略的依据,并按位置和时间确定访问权限。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。

  2. 改善合规性和审计绩效:用于分析网络空间中的用户和实体(服务器、路由器等)的行为(可以分析包括用户、IT设备、和IP地址等在内的行为),并应用高级分析技术来检测异常恶意行为,并达到异常行为响应的目的。

  3. 提供快速,有效的业务访问:一次认证,可以访问所有的系统。

  4. 降低运营成本:同用一套认证系统,避免服务器资源的消耗。

零信任IAM缺点

需要持续的管理、维护
切换到零信任网络安全模型的另一个经常被忽视的挑战是需要持续管理。 在某些情况下,零信任意味需要额外的人员或购买托管服务。
零信任模型依赖于严格定义权限的庞大网络,但公司始终在发展中,人员总是处于被雇用、进入新角色、改变工作地点、辞职和下岗的动态流程中。人员的每次变动都必须更新访问控制,以确保正确的人员可以访问特定信息。如果在员工角色变更或离职后没有立即更新权限和控制,就会产生未经授权获得对敏感数据的访问权限的风险。而保持权限准确和更新需要持续投入,这对于资源紧张的网络安全部门来说往往会难以为继。

零信任(Zero Trust)MSG 微隔离

注:微隔离技术是用于实现东西向安全的(服务器跟服务器间的安全)。微隔离是零信任架构的重要组成部分。

微隔离技术路线

微隔离方案落地可选技术路线包括代理隔离、虚墙隔离、混合模式。

■ 代理隔离

通过代理软件实现隔离,需要将代理部署在网络中的每个节点,节点通过代理向微隔离客户端申请认证,客户端通过代理来控制节点用户的网络行为。这种方案不需要考虑底层架构,且方便节点迁移,代理保留节点身份信息,控制中心安全策略计算复杂度相对降低。但劣势也比较明显,需要为数据中心所有节点安装客户端,节点划分最低到主机级别,业务划分粒度有限。

■ 虚墙隔离

通过虚拟防火墙实现隔离。基于防火墙技术,具有更好的安全性,且易于扩展虚墙的DPI、AV、IPS、WAF等功能,集成多类型日志信息。其劣势在于虚墙的费用相对较高,且性能优化困难。

■ 混合模式

数据中心网络拓扑情况十分复杂时,可适当结合代理和虚墙两种模式,针对具体情况选择易于实施的技术方案,当然,混合模式也会增加管理难度,增加微隔离客户端的实现开销。

微隔离的优点
  1. 减少攻击面

  2. 改善横向运动的安全性

  3. 安全关键应用

  4. 改善法规遵从性状况

微隔离的缺点
  1. 业务运行环境越复杂,管控粒度越细,策略的计算难度就越高;在庞大的网络体系下如何最大程度提升性能,实现秒级运算,是当下一大问题。
  2. 需要做到全方位自适应动态策略生成,包容大范围网络迁移,这个在大型网络中需要实现大量的资金,同时也是一个巨大的工程量。
  3. 在业务网络中,很难确定微隔离部署的最佳位置,拓扑的绘制难度很大,同时容易引起网络中断。
  4. 需要在庞大业务群中进行定义业务的多重认证,会提高认证延时及服务器的访问延时,业务量大的情况下,会加大服务器资源的消耗。

零信任技术框架实现

1. 运行零信任试验
在将零信任方案投入生产环境之前,请对其进行用户试验和安全评估。评估用户使用体验、管理员管理体验以及安全团队对事件和安全问题的响应体验。从所有类型的用户那里获得反馈,以改进未来的实施。

2.从小处着手

当零信任进入生产环境时,从小处着手。并且不要完全放弃遗留系统。首先,识别最敏感的数据和关键工作流程,并对其进行更严格的访问控制,例如多因素身份验证、特权访问和会话管理。暂时将其余数据留给传统的安全边界控制管理。建议从SDP 和IAM入手,逐步完善网络的零信任架构。

3.慢慢扩展

“小目标”成功后,再扩展部署。循序渐进地引入零信任安全是更为稳妥的方法,不会破坏网络安全战略的连续性。企业逐步锁定关键资产,逐步切换系统所面临的威胁更少。

4.牢记零信任“人的因素”

零信任成功的关键不仅是让合适的员工负责零信任部署和管理,而且还需要适应企业文化。

零信任是一项团队运动。安全、网络、数据和应用开发团队需要与人力资源、财务、最高管理层和其他团队合作,才能取得零信任的成功部署。沟通和协作很重要。培训和认证则有助于提升零信任知识。

请记住,对于零信任来说,培训和文化与技术同样重要。强大的技术可能会被有问题的文化打败。每个员工都是零信任团队的成员,需要适应全新的工作方式和新政策,因此一定要避免任何用户体验摩擦。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1324864.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

科聪控制系统典型应用车型 —— 料箱机器人

料箱机器人即料箱AGV是一种智能化物流搬运设备,它可以代替人力完成出库入库和搬运工作,可根据出入库生产出货需求,将货物从起点运送到终点,自动柔性完成货到人货到点的操作。 提升仓储和物流效率的自动化利器 料箱机器人的投用能…

查询后矩阵的和

说在前面 🎈不知道大家对于算法的学习是一个怎样的心态呢?为了面试还是因为兴趣?不管是出于什么原因,算法学习需要持续保持。 问题描述 给你一个整数 n 和一个下标从 0 开始的 二维数组 queries ,其中 queries[i] [t…

【小白专用】php pdo sqlsrv 类,php连接sqlserver

1.找到自己版本&#xff0c;我的程序是64位的。 注意&#xff1a;ts与nts的区别&#xff0c;查看phpinfo信息&#xff0c;如下 <?phpecho phpinfo();?> 2.运行后&#xff0c;可以查看到如下数据&#xff1a; ① PHP 的版本是8.2.13&#xff1b; ② 属于线程安全版 ts…

gitcode邀请协作人员

项目首页 点击项目设置 点击项目成员设置--生成邀请链接 设置权限、是否需要审核、成员有效时间、邀请链接有效时间&#xff08;不设置时间就是永久有效&#xff09; 点击创建链接 点击复制分享给别人加入即可

CSharp中Blazor初体验

Blazor 是一个由微软开发的开源 Web 框架&#xff0c;用于构建富客户端 Web 应用程序使用 C# 语言和 .NET 平台。Blazor 允许开发人员使用 C# 语言来编写前端 Web 应用程序&#xff0c;而不需要像传统的 JavaScript 框架&#xff08;如 Angular、React 或 Vue.js&#xff09;那…

【SpringBoot快速入门】(1)SpringBoot的开发步骤、工程构建方法以及工程的快速启动详细讲解

目录 SpringBoot简介1 SpringBoot快速入门1.1 开发步骤1.1.1 创建新模块1.1.2 创建 Controller1.1.3 启动服务器1.1.4 进行测试 2 对比3 官网构建工程3.1 进入SpringBoot官网3.2 选择依赖3.3 生成工程 4 SpringBoot工程快速启动4.1 问题导入4.2 打包4.3 启动 之前我们已经学习的…

鸿蒙原生应用再添新丁!喜马拉雅入局鸿蒙

鸿蒙原生应用再添新丁&#xff01;喜马拉雅入局鸿蒙 来自 HarmonyOS 微博12月20日消息&#xff0c; #喜马拉雅正式完成鸿蒙原生应用版本适配#&#xff0c;作为音频业巨头的喜马拉雅 &#xff0c;将基于#HarmonyOS NEXT#创造更丰富、更智慧的全场景“声音宇宙”&#xff01;#鸿…

校园导游系统-Java实现

一. 题目 设计一个校园导游系统。设计学校的校园平面图&#xff0c;选取若干个具有代表性的景点抽象成一个无向带权图&#xff0c;以图中顶点表示校内各景点&#xff0c;边上的权值表示两景点之间的距离。存放景点代号、名称、简介等信息供用户查询。为来访客人提供图中任意景…

python多线程中:如何关闭线程?

嗨喽~大家好呀&#xff0c;这里是魔王呐 ❤ ~! python更多源码/资料/解答/教程等 点击此处跳转文末名片免费获取 使用 threading.Event 对象关闭子线程 Event 机制工作原理&#xff1a; Event 是线程间通信的一种方式。其作用相当于1个全局flag&#xff0c;主线程通过控制 e…

基于Java版本与鸿鹄企业电子招投标系统的二次开发实践-鸿鹄企业电子招投标系统源代码+支持二开+鸿鹄电子招投标系统

随着市场竞争的加剧和企业规模的扩大&#xff0c;招采管理逐渐成为企业核心竞争力的重要组成部分。为了提高招采工作的效率和质量&#xff0c;我们提出了一种基于电子化平台的解决方案。该方案旨在通过电子化招投标&#xff0c;使得招标采购的质量更高、速度更快&#xff0c;同…

JAVA线上事故:递归导致的OOM

最近因为人员离职&#xff0c;接手一个项目&#xff0c;是xxljob的客户端&#xff0c;部署在k8s上&#xff0c;在排查线上工单时&#xff0c;发现了一个问题&#xff1a; 在管理界面上&#xff0c;我惊讶的发现&#xff0c;三个月的时间&#xff0c;2个Pod&#xff0c;每个都重…

ClickHouse中的CPU调度

本文字数&#xff1a;14267&#xff1b;估计阅读时间&#xff1a;36 分钟 作者&#xff1a;Maksim Kita 审校&#xff1a;庄晓东&#xff08;魏庄&#xff09; 本文在公众号【ClickHouseInc】首发 概述 在这篇文章中&#xff0c;我将描述向量化的工作原理&#xff0c;什么是CP…

ASP.NET MVC权限管理系实战之一验证码功能实现

1&#xff0c;权限的管理系统&#xff1a;开发项目必备的一个的功能&#xff1b;该项目使用 ASP.NET MVC5 SqlServer EF6 IOC容器 BoostStrap 2&#xff0c;登录界面验证码功能实现&#xff0c;整体效果如下&#xff1b; 3&#xff0c;接下来就是代码部分实现&#xff0c;前端…

C#使用HTTP方式对接WebService

C#使用HTTP方式对接WebService C#对接WebService的几种方式 1.直接引用服务 添加服务 添加成功后, 会显示服务详细 调用服务 使用HTTPPost调用WebService option.RequestDataStr GetHttpRequestXml(strXmlBody); // 创建一个 HttpClient 对象 using (HttpClient client …

vba中字典的应用实例

vba中熟练使用字典可以帮我们解决很多问题&#xff0c;以下为字典的应用方法及案例&#xff1a; Sub dictionary() Dim d As New dictionary 定义字典 Dim mykey As Variant Dim myitems d.Add "1100000", "身份证" 字典录入key关键字和item条目 d.Add &q…

数字化技术助力英语习得 iEnglish成智慧化学习新选择

日前,美剧《老友记》中钱德勒的扮演者马修派瑞去世的消息引发不少人的回忆杀。《老友记》官方发文悼念马修派瑞:“对于马修派瑞去世的消息,我们深感悲痛,他是给我们所有人的真正礼物,我们的心和他的家人、爱人、所有的粉丝在一起。” 作为不少国人刷剧学习英语的首选,《老友记…

排序算法——快排

快速排序算法最早是由图灵奖获得者Tony Hoare设计出来的,他在形式化方法理论以 及ALGOL.60编程语言的发明中都有卓越的贡献,是20世纪最伟大的计算机科学家之—。 而这快速排序算法只是他众多贡献中的—个小发明而已。 快速排序&#xff08;Quick Sort&#xff09;的基本算法思…

1_js基本简介数据类型变量的使用

1. 编程语言简介 1.1 计算机编程语言 计算机编程语言是程序设计的最重要的工具&#xff0c;它是指计算机能够接受和处理的、具有一定语法规则的语言。从计算机诞生&#xff0c;计算机语言经历了机器语言、汇编语言和高级语言几个阶段。 高级语言&#xff1a;JavaScript&#x…

vue打包内存问题解决办法<--- Last few GCs ---><--- JS stacktrace --->

**<— Last few GCs —> [18484:0000026763669610] 106760 ms: Mark-sweep 4016.0 <— JS stacktrace —> FATAL ERROR: Ineffective mark-compacts near heap limit Allocation failed - JavaScript heap out of memory** 解决办法&#xff1a; set NODE_OPTION…

PaddleOCR Docker 容器快捷调用,快捷调用OCR API

文章目录 搞环境命令行测试Python调用测试转fastapi服务打包成镜像服务快速启动paddleOCR paddleOCR迎来大更新&#xff0c;搞一把新的api接口&#xff0c;直接用起来。 搞环境 搞容器&#xff1a; FROM nvidia/cuda:11.8.0-cudnn8-devel-ubuntu22.04 ENV DEBIAN_FRONTENDno…