以系统思维推进零信任架构演进

news2024/11/15 17:50:13

声明

本文是学习零信任数据动态授权桔皮书. 下载地址 http://github5.com/view/55013而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

以工程化思维推进零信任架构演进

前文所述零信任数据动态授权能力,是围绕数据本身的库、表、字段构建安全防护能力,需要将零信任能力和数字化业务紧密聚合才能实现,可以说是零信任实践的终极目标。

数字化转型和信息化演进都是一段旅程,不可能一蹴而就。同样地,零信任构建也不可能是一日之功,需要结合信息化演进规划、安全现状进行妥善规划,逐步建设。在不具备构建数据级访问控制的情况下,从应用、API接口的细粒度管控出发,逐步推进也是可行的。

实践零信任的过程中,需要切记安全从业者不再是旁观者,而是积极的业务共同建设者,通过同步规划、同步建设和同步运营全程参与到数字化建设中。处理好零信任与现有信任基础、安全手段关系,解决建设信息化系统的各方,在采用零信任体系架构时的规划、协同问题,正确引导零信任安全规划、建设实施。

以系统思维推进零信任架构演进

在零信任实践中,特别是对于零信任在数据访问场景的实践,不要脱离目标和业务场景来看所谓的零信任产品和技术。事实上,零信任技术是由需要什么样的零信任能力确定的,而能力需求取决于零信任应用的场景和企业安全策略,策略比技术更为关键,技术的发展驱动来自于企业的策略。

零信任目标及策略

零信任策略是实现特定目标的高层级计划,只有确定了零信任演进策略(结合业务场景)以后,才可以通过规划活动,设计零信任能力模型,采用相关技术组件来推动这些目标的实现,而不是单纯购买零信任安全产品。

零信任能力

零信任工程实现需要技术组件来支撑,这些组件包含要实现的特定能力。为支持这些能力,需要定义相应策略、流程和过程。零信任能力是战略实施框架中承上启下,安全能力与业务体系紧耦合,构建具有自适应能力的安全机制。

零信任技术

在阐明了战略目标并确定了在每个零信任组件中需要开发的关键功能之后,就可以考虑支持零信任策略的工具、软件项或平台。例如,在评估技术时,将面对这样的思考“此项技术支持哪些功能,具体如何实现我的团队的零信任能力?”因此,在考虑零信任能力实现之外,还要考虑API集成支持。

零信任特性

使技术能够满足零信任策略的具体特性是什么?这是这个聚焦零信任框架的最后一点和最细粒度点的关键。零信任相关方案的产品都必须描述他们提供的特定功能如何与零信任实施策略所要求的功能特性保持一致。

制定阶段性行动计划

确立建设思路

结合应用场景规划制定阶段性行动计划。首先确立建设思路是能力优先型,还是范围优先型。作为工程实施问题,可以综合协调,梳理安全能力现状、需求,业务现状、优先级后,确定初步的总体建设路径。按照需求迫切度、能力完善程度进行组合。

  1. 能力优先型:针对少量的业务构建从低到高的能力,通过局部业务场景验证零信任的完整能力,然后逐步迁移到更多的业务,扩大业务范围
  2. 范围优先型:先在一个适中的能力维度上,迁移尽量多的业务,然后再逐步对能力进行提升。

厘清项目性质

根据需要,确定阶段性零信任建设项目性质:是新建、扩建还是升级改造,考虑对接业务情况,将新建业务和核心业务作为第一优先级考虑。如果零信任架构与新建业务同步规划,则是构建一个纯零信任架构;如果零信任架构是与核心业务升级改造同步规划,则存在混合零信任和传统架构并存的情况,在不同情况下,对于零信任能力要素的规划也将不同。

(1)纯零信任架构:从头开始构建一个零信任架构网络。

从企业的当前设置和运营方式,确定企业要操作的应用程序和工作流程,为这些工作流程生成基于零信任原则的体系结构。

确定了工作流程,企业就可以缩小所需组件的范围,并开始绘制各个组件的交互方式,构建基础结构和配置组件的工程和组织工作。

(2)混合零信任和传统架构共存。

一段时间内,零信任工作流与传统企业架构的共存。这是零信任迁移的重点,要保障现有业务和新建业务混合运行,平稳过渡。

企业向零信任方法的迁移,可以采取一次迁移一个业务流程的方式。在规划中,企业需要确保公共元素(例如ID管理、设备管理、事件日志等)足够灵活,支持零信任在遗留混合安全架构中运行,并且为零信任候选解决方案,限制那些可以与现有组件接口连接的解决方案。

制定分步迭代建设方案

制定分布建设方案是零信任从战略规划到行动计划的最后一个步骤,承接规划指导思想,如果是能力优先型建设思路,需要针对少量的业务构建从低到高的能力,通过局部业务场景验证零信任的完整能力,然后逐步迁移更多的业务。范围优先型则先在一个适中的能力维度上,迁移尽量多的业务,然后再逐步对能力进行提升。其主要考虑划分为以下几个迭代的步骤:

(1)概念验证

按照技术实施方案,进行基础环境搭建,验证零信任架构自身能力。在最小化可控生产环境进行概念验证,测试验证系统运行。

(2)业务接入

在零信任架构自身能力建设通过检测后,进行业务和终端的全面接入。

(3)能力演进

对验证过程的一些可优化点进行能力优化,基于验证结果规划后续能力演进阶段,逐步有序地提升各方面的零信任能力。

延伸阅读

更多内容 可以点击下载 零信任数据动态授权桔皮书. http://github5.com/view/55013进一步学习

联系我们

DB44-T 753-2010 环境噪声自动监测技术规范 广东省.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/141296.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

光点数据中台能干啥?怎么做?用在哪?_光点科技

如今,数据营销已经成为许多公司数字化转型的必要选择。数据中台的支持是企业中任何高层次的业务应用不可或缺的。数据中心面向的公司业务不再是单一业务线,而是从公司整体角度审视业务全景,寻找可重用的沉淀能力。 今天,让我们来了…

一个 Qml MenuBar 的问题

基本情况 使用 QQuick.Control 中的 MenuBar 实现主菜单栏。菜单栏包括 File、Edit、View、Help 菜单项。点击菜单项,会弹出对应的菜单。 ApplicationWindow {id: windowwidth: 320height: 260visible: truemenuBar: MenuBar {Menu {title: qsTr("&File&…

List集合

首先看这个框架图: List集合代表一个元素有序,可重复的集合,集合中每个元素都有对应的顺序索引。List接口中增加了一些根据索引操作元素的方法: void add(int index,E element ) 在列表的指定位置插入该元素。 boolean addAll(in…

【数据结构】LinkedList模拟实现与简单使用

文章目录模拟实现LinkedListLinkedList的简单使用LinkedList的一些方法LinkedList的遍历简单对比一下LinkedList和ArrayList模拟实现LinkedList 在上一篇的博客中,我们讲解了链表的基础知识,并且模拟实现了一个无头单向不循环链表,链表的基础…

12.动态内存

文章目录动态内存12.1动态内存和智能指针12.1.1shared_ptr类make_shared函数shared_ptr的拷贝和赋值shared_ptr自动销毁所管理的对象shared_ptr还自动释放相关联的内存使用了动态生存期的资源的类12.1.2直接管理内存使用new动态分配和初始化对象动态分配的const对象内存耗尽指针…

Java集合类ArrayList应用 | 如何在字符串s1中删除有在字符串s2出现的字符?

目录 一、题干 二、题解 1. 思路 ArrayList实现 2. 代码 ArrayList实现 StringBuilder实现-1 StringBuilder实现-2 三、总结 一、题干 面试的编程题: s1: "welcome to Zhejiang" s2: "come" 要求输出从字符串s1删除s2中存在的字符之后…

如何更好使用markdown输出pdf

如何更好的使用markdown输出PDF 背景:当前很多人比较常用的 markdown 编辑方式是用vscode编写,再使用 vscode 中 的 MPE 的进行预览。有时候会出现这种情况:想要最终输出PDF给客户,但是通过 vscode 中的markdown 转 PDF插件生成 P…

云计算与云原生

如今是云时代,云计算,大数据,人工智能等新的名词在最近爆火。今天我们来了解一下,云计算与云原生。 在了解云原生之前,我们必须要了解云计算。 云计算 什么是云计算? 在了解云计算之前我们需要先了解一…

嵌入式实时操作系统的设计与开发(三)

基本调度机制 用户在基于RTOS开发应用前,首先要创建线程。 aCoral中,用户创建一个线程时须指定用户希望采用的调度策略,例如,用户想创建一个周期性执行的线程并希望通过周期来触发多线程的调度。 //创建一个周期性的线程 acoral…

视频播放中动画

CSS filter属性CSS的filter属性主要用于设置图像的视觉效果。语法:filter: none|blur()|brightness()|contrast()|drop-shadow()|grayscale()|hue-rotate()|invert()|opacity()|saturate()|sepia()|url();Filter 函数注意: 滤镜通常使用百分比 (如&#…

ArcGIS基础实验操作100例--实验49按分区划分栅格图层

本实验专栏参考自汤国安教授《地理信息系统基础实验操作100例》一书 实验平台:ArcGIS 10.6 实验数据:请访问实验1(传送门) 高级编辑篇--实验49 按分区划分栅格图层 目录 一、实验背景 二、实验数据 三、实验步骤 (…

Power BI柱形图

在PowerBI中制作常见的柱形图,简单来说,柱形图就是利用水平的柱子表示不同分类数据的大小,与之类似的是条形图,它就是竖的柱形图,或者说把柱形图顺时针转动90度就成了条形图,使用以及作图方式类似&#xff…

媒体查询(@media语法、案例)详解

媒体查询media 语法1. 直接写在 CSS 样式中2. 针对不同的媒体设备,从外部链入不同的 stylesheets(外部样式表)使用 media 实现网页变色龙media 语法 media 可以直接写在 CSS 样式中,或者可以针对不同的媒体设备,从外部…

技术分享 | 一款功能全面的 MySQL Shell 插件

作者:杨涛涛 资深数据库专家,专研 MySQL 十余年。擅长 MySQL、PostgreSQL、MongoDB 等开源数据库相关的备份恢复、SQL 调优、监控运维、高可用架构设计等。目前任职于爱可生,为各大运营商及银行金融企业提供 MySQL 相关技术支持、MySQL 相关课…

[Java]异常处理

文章目录🥽 异常概述🥽 异常的分类🥽 异常的处理🌊 异常处理机制一:try-catch-finally💦 语法结构💦 try-catch💦 finally💦 try-catch-finally处理异常的执行流程&#…

7.0、Linux-Vim编辑器以及常用命令详解

7.0、Linux-Vim编辑器以及常用命令详解 什么是 Vim 编辑器 -> Vim 是从 vi 发展出来的一个文本编辑器;代码补全、编译以及错误等方便编程的功能特别丰富,在程序员中被广泛使用;简单的来说,vi 是老式的字处理器,不过…

未知感知对象检测:从开放视频中学习你不知道的东西(学习笔记)

Unknown-Aware Object Detection: Learning What You Dont Know from Videos in the wild paper: https://arxiv.org/abs/2203.03800 code: https://github.com/deeplearning-wisc/stud the Wild 弄一个靠谱的目标检测器,完成OOD问题 什么是out of distribution (…

PHP Tools for Visual Studio 2019-2022 1.7 Crack

PHP Tools 是一个完整的 PHP 开发环境,位于单个软件包中。利用众所周知的行业标准 IDE 开发小型项目直至大型 PHP 应用程序。 该编辑器具有智能代码分析和快速抢占式代码完成功能。通过大量的导航功能、手边的本地化手册或快速重构操作来提高您的工作效率。 检查代码…

基于Amlogic 安卓9.0, 驱动简说(五):基于GPIO、LED子系统的LED驱动

一、篇头 本章介绍LED子系统的使用。使用LED子系统,可以轻松实现对LED,例如常见的闪烁和亮度控制功能。简单起见,本章先使用GPIO实现,在不模拟PWM的情况下,只能实现点亮和灭灯的效果,重点是介绍GPIO、LED子…

腾讯前端一面常考vue面试题汇总

vue2.x详细 1. 分析 首先找到vue的构造函数 源码位置:src\core\instance\index.js function Vue (options) {if (process.env.NODE_ENV ! production &&!(this instanceof Vue)) {warn(Vue is a constructor and should be called with the new keyword…