网络安全零信任学习1:基本概念

news2024/12/30 3:08:34

读书《白话零信任》一书笔记系列:

1)基本概念

传统安全模式在某种程度上假设内网用户、设备和系统是可信的,
忽视了来自内网的威胁。企业一般专注于对外部的防御,内网用户
的访问行为往往只受到很少的限制。
随着网络攻击手段的提升和APT攻击的泛滥,在复杂的网络环境中,
当网络边界过长时,企业网络很难防御住单点进攻。攻击者一旦突
破企业的安全边界,就如入无人之境,网络边界也变成了马其诺防
线。攻击者可能首先通过网络钓鱼、零日漏洞突破边界的防御,然
后在内网肆意传播恶意代码,或者以入侵的服务器为跳板,进一步
横向攻击内网的其他服务器。因此,企业不能再完全依赖以边界为
中心的防御体系了,而需要一种对所有用户和设备都适用的访问控
制体系。 
     2004年左右,一个名为Jericho Forum的组织提出了一种“去边界
化的网络安全架构”,主张去除对内网的隐式信任。他们假设环境
中处处存在危险,没有固定的安全区域。所以,安全防护必须覆盖
所有用户和网络资产,所有流量都要经过身份验证。
美国国防部建立了名为“BlackCore”的安全模型,他们主张从“边
界防御”转变为“对每个用户行为进行信任评估”,让身份和权限
变成新的“边界”。
      2010 年, Forrester 分 析 师 John Kindervag 在 文 章
No More Chewy Centers:
Introducing The Zero Trust Model Of Information Security
中 提 出 了“零 信 任”这 个 概 念, 并 在 文 章
Build Security Into Your Network’s DNA:
The Zero Trust Network Architecture中描绘了最初的零信任
模型。零信任概念开始得到业界关注,John Kindervag本人也被称
为“零信任之父”。
此时的零信任理念中最重要的一点就是,强调不再区分可信和不可
信,所有的网络流量都应被视为是不可信的。这也是“零信任”架
构名称的由来。
要实现这一点,网络架构需要做出相应改变。
(1)网络中需要存在一个中心网关,强制让所有流量都经过它,进
行实时检测。
(2)隔离和访问控制策略要覆盖网络中的所有设备,按最小权限原
则进行授权。
(3)集中管理访问策略,并进行全面的安全审计。

中心网关可以在网络转发的基础上,对流量进行过滤,起到防火
墙、访问控制、传输加密、内容过滤、入侵检测、行为监控等作
用。
(1)隔离边界:隔离边界组件对网络进行细粒度分区,将不同的用
户和资源区域隔离开,配合访问控制策略,不让非法流量进来(所
以,零信任架构其实并不是抛弃边界,而是建立更细粒度的边界,
并且基于边界进行更多因素的校验)。
(2)集中管理、审计分析:集中管理中心网关并隔离边界的访问策
略,对流量进行各类因素的审计和分析,同时记录日志,将整个网
络安全态势可视化。
从图1-2中可以看出,零信任架构是一种从内到外的整体网络安全架
构,其安全能力不是外挂式地叠加的。网络组件也具备安全管控和
整体协同管理的能力,就像Forrester文章的标题一样,安全是刻进
网络的DNA中的

几年后,著名的分析师Chase Cunningham将之重新修订为零信
任扩展生态系统(Zero Trust eXtended(ZTX) Ecosystem)。
与原来的概念相比,ZTX将零信任架构的范围扩展到7个维度,整个
模型更加丰富了,如图1-3所示。数据是零信任架构保护的核心目
标。工作负载(Workload)、网络、设备和用户是“接触—数
据”的管道,零信任架构围绕这些管道执行安全管控策略、展示安
全态势。




下面依次介绍ZTX包含的7个维度的内容。
(1)数据:ZTX应当对整个数据生命周期进行保护。基于用户、设
备、环境等多种因素进行综合评估后,执行数据分类、加密、访问
控制安全措施。数据泄密防护(D Prevention,DLP)也应当属于
零信任架构的一部分。
(2)网络:ZTX应当对用户和服务器分别进行网络隔离,基于身份
和环境属性,提供细粒度访问控制。传统网络安全模型中的边界安
全产品也应当在零信任架构中发挥作用。
(3)用户:ZTX包含身份管理功能,通过多因子认证、单点登录等
策略,减少与用户身份相关的威胁。
(4)工作负载:工作负载指承载业务服务的基本组件单元,例如,
传统的物理机、虚拟机,现在的云主机、Docker容器、微服务等。
ZTX对各种场景下的工作负载进行统一的细粒度访问控制,阻断非必
要的连接。
(5)设备:ZTX对设备的管理包括设备清单管理、设备认证、设备
检查与修复、设备隔离等。ZTX应当持续感知设备的安全状态,根据
安全策略限制设备对数据资源的访问,确保只有安全的设备才能接
入网络。
(6)可见性与分析:ZTX应当支持对多个来源的身份信息、环境信
息、安全信息进行综合分析,并进行可视化呈现。
(7)自动化与编排:ZTX应该能够通过机器学习或规则匹配自动识
别安全事件,通过安全策略编排,与各类安全设备联动,自动对安
全事件进行响应。
从上面的介绍可以看出,ZTX的内涵已经相当丰富了,但Forrester
不甘寂寞,又提出了零信任边缘(Zero Trust Edge,ZTE)的概
念。ZTE通过云原生的中心网关进行安全过滤,以便提供更灵活、扩
展性更强的安全服务。SASE和ZTE的更 多详情将在4.8节介绍。

在行业发展到一定阶段之后,相关机构就会出台技术标准。在2014
年,零信任行业发展初期,国际云安全联盟发布了一个遵循零信任
理 念 的 技 术 标 准 —— 软 件 定 义 边 界
(Software Defined Perimeter,SDP)。现在很多企业的零信任
架构都是参考SDP标准开发的。
2019年,美国国家标准技术研究所(NIST)发布了零信任架构的标
准草案,并于2020年正式发布。目前,这是业界最权威的一份技术
标准。
目前国内在零信任标准化的推进上相对落后,不过也有一些企业和
机构已经发布了零信任的参考架构。1.4.1 国际云安全联盟提出SDP技术架构
2014年,国际云安全联盟(CSA)的SDP工作组发布了《SDP标准规
范》。软件定义边界是相对于传统的以物理边界为中心的网络安全
模式来说的。SDP主张在每个用户的设备上都安装客户端软件,进行
身份校验,只有通过验证的用户才能访问企业资源。这样就构建了
一个软件的、虚拟的安全边界。这种理念与零信任理念是非常相似
的。
由于SDP的架构非常简单可靠,国内外很多安全厂商都在推出基于
SDP架构的零信任产品。可以说SDP是目前最好的实现零信任理念的
技术架构之一。
1. 为什么说SDP架构好
第一,SDP系出名门。CSA的SDP工作组的组长是原美国中央情报局
(CIA)的CTO——Bob Flores。没错,就是电影里常常见到的那个
特工组织CIA。Bob Flores把CIA、美国国防部(DoD)、美国国家
安全局(NSA)里面的很多实用技术拿出来,放到了SDP架构里。所
以如果你去翻看SDP的白皮书原文,那么可以看到很多地方写到,
SDP中的这部分技术源自DoD的某某技术,是经过NSA验证的。
第二,SDP不是纸上谈兵,自诞生之初,就经历重重考验。在SDP技
术推出之后,CSA曾经组织过4次黑客大赛来检验SDP的可靠性。来自
100多个国家的黑客一共发起过几百亿次攻击,却没有一个人能攻破
SDP的防御。比赛的具体过程会在5.2节详细介绍

2. SDP架构
SDP架构有3个组件,如图1-8所示。
SDP客户端:负责在用户登录时,感知设备安全状态,将用户的业务
访问请求转发到SDP网关。
SDP网关:负责执行访问控制策略,只允许合法用户经过网关,访问
业务系统。
SDP管控端:负责验证用户的身份,制定并向SDP网关下发安全策
略。



SDP架构的整个工作流程如下。
(1)SDP管控端启动。
(2)SDP网关向管控端“报道”,准备接收SDP管控端的控制指令。
(3)用户在SDP客户端上进行登录操作,登录请求被转发到SDP管控
端进行验证。
(4)在身份验证成功后,管控端向客户端下发用户有权连接的SDP
网关列表,向网关下发校验用户所需的身份和授权信息。在下发信
息之前二者不知道对方的存(5)在下发信息后,SDP客户端与SDP网关建立安全加密的数据传输
通道(包括SPA端口敲门过程)。用户发起的业务访问请求会被SDP
客户端转发至SDP网关。
(6)SDP网关会根据访问请求中包含的用户信息进行身份和权限校
验。
(7)校验成功后,SDP网关将访问请求转发到后方的业务系统。此
后,用户即可正常访问业3. SPA网络隐身
单包授权(Single Packet Authorization,SPA)是SDP的特色技
术。在默认情况下,SDP不对外开放端口。只有在客户端通过SPA敲
门技术通过身份验证之后,才暂时对其开放端口。具体的隐身技术
原理会在4.1节详细介绍。这就像进入一个秘密基地,平时基地的大
门是紧闭的,打不开,外面的人也不知道里面有没有人。秘密基地
的成员来了之后,看到大门紧闭,就会敲门。敲门的节奏是三长两
短,门里面的人听到了暗号,知道是自己人来了,自然就把门打开
了。SPA技术就是让客户端向SDP网关发送一个“敲门”的数据包,
包里携带用户的身份信息。SDP网关接收之后,不做回应,而是解析
包中的身份,如果校验成功,就向该用户的IP开放端口务系统。

 

4. SDP与VPN的区别乍一看,SDP与VPN在架构上有几分相似,但其实SDP架构中有很多安
全考虑是VPN不具备的。
SPA网络隐身就是VPN不具备的安全技术。有了SPA之后,SDP网关在
互联网上是隐身的,黑客完全扫描不到。黑客发现不了,自然就不
会发起攻击。在近年来VPN漏洞频发的情况下,SDP的网络隐身能力
的价值更加明显。
SDP架构强调控制面与数据面分离,这与VPN有明显区别。从架构图
上可以看出,SDP将管控端和网关在逻辑上进行分离,数据的流动与
控制指令的流动互不干扰。SDP管控端和SDP网关在专门的控制面网
络上进行通信,数据面网络用于业务访问的通信。这么做的好处
是,避免黑客攻陷一点就波及整个网络。
另外,管控端分离便于对“多个网关”的场景进行集中管理。例
如,企业有两个数据中心,一个在机房,另一个在云端。SDP可以在
每个环境下都部署一个SDP网关,然后由一个SDP管控端进行统一管
理。SDP管控端会向客户端下发SDP网关与其业务系统的对应关系。
用户在访问这两个环境中的业务系统时不用切换账号,可以直接进
行访问。这是VPN做不到的。
5. SDP适用场景
SDP架构需要用户安装客户端,所以SDP对终端的安全控制更强,客
户端和网关联动能产生更严密的防护效果。但客户端也限制了SDP的
应用场景。一些公开的网站无法用SDP保护。
SDP特别适用于合作伙伴、供应商、第三方人员、分支机构等特定人
群访问业务系统的场景。这些系统需要在互联网上开放,以便第三
方人员访问。但是又不需要向所有人开放,不会引来黑客攻击。在
这种场景下,SDP能保证合法用户正常连接,对未知用户“隐形”。

美国NIST制定行业标准
2019年9月,美国国家标准与技术研究院(NIST)发布了《零信任架
构》 标 准 草 案 (NIST.SP.800-207- draft-
Zero Trust Architecture)。2020年2月,NIST发布了标准草案
的第2版,并最终于8月发布了标准的正式版。这份标准介绍了零信
任的基本概念、架构组件、部署方案等,是目前最权威的零信任架
构标准。
NIST标准对“零信任”下了定义。零信任(Zero Trust)是一系列
概念和思想,用于减少网络威胁带来的不确定性,以便对业务系统
和 服 务 的 每 个 请 求 都 执 行 细 粒 度 访 问 决 策。 零 信 任 架 构
(Zero Trust Architecture)是一种基于零信任理念的企业网络
安全规划,包括组件关系、工作流规划、访问策略等。

   NIST零信任架构的基本组件包括策略决策点和策略执行点。



a)策略引擎:当用户发起访问请求时,策略引擎从周边各个系统获
取用户的身份和安全状态,进行综合分析,然后计算是否允许该用
户访问某个资源。
b)策略管理:负责管理用户的身份凭证和会话创建,根据策略引擎
的计算结果,通知策略执行点创建会话或关闭会话。
(2)策略执行点:零信任假设访问的主体不可信,而且身处不可信
环境,所以主体只有在通过策略执行点的严格校验后,才能访问企
业资源。策略执行点负责接收用户的访问请求,按策略决策点的指
令放行或拦截。
注意:NIST的策略执行点是一个抽象的概念,可以指代客户端和网
关等组件。NIST的主体可以指用户,也可以指服务器,还可以指物
联网设备。系统可以指用户的笔记本计算机,也可以指服务器系
统,还可以指物联网设备的系统。
NIST零信任架构中左右两边的组件代表了企业现有的或来自第三方
的网络安全系统。这些系统也包含在零信任架构之中,为零信任的
策略决策点提供信息输入和管理支撑功能。
(1)持续诊断和缓解(CDM)系统:收集企业资产的安全状态,更
新系统配置和软件。如果存在漏洞,策略决策点就可以采取修复或
隔离措施。
(2)行业合规系统:确保企业遵守了各种合规制度,包括一系列相
关的策略规则。
(3)威胁情报源:为企业提供最新的漏洞、恶意软件、恶意IP地址
等信息。策略决策点可以有针对性地进行分析和屏蔽。
(4)数据访问策略:定义了谁可以访问哪些数据,零信任架构可以
在此基础上基于身份和数据属性进行更细粒度的策略管控。
(5)公钥基础设施(PKI):生成并记录企业向主体、资源签发的
证书。
(6)身份管理系统:负责管理企业用户的身份信息,包括姓名、邮
箱等基本信息,岗位、部门等组织架构信息,角色、安全标签、绑
定设备等其他相关信息。例如,AD或IAM、4A系统等。
(7)行为日志:汇聚企业系统日志、网络流量、授权日志等。策略
决策点可以根据行为日志进行分析建模。
(8)安全信息与事件管理(SIEM)系统:汇聚各个系统发出的安全
事件及告警日志,便于零信任架构进行策略响应。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1653013.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

来了,135届广交会的成绩单

5月5日,第135届中国进出口商品交易会(简称广交会)在广州圆满闭幕,这一全球贸易盛典再次展现了中国制造的卓越实力和文化魅力,成就斐然,吸引了全球目光。 接下来,让我们通过数说成绩单&#xff…

c语言常用操作符(2)

1.移位操作符 移位操作符分为<<左移操作符和右移操作符>> 注&#xff1a;移位操作符的操作数只能是整数&#xff0c;同时移位操作符移动的是存储在内存中的二进制位&#xff08;也就是补码&#xff09; 同时移位操作符不要移动负数位&#xff0c;这个是标准未定义…

凡尔码安全巡检卡替代传统纸质记录卡

建筑行业、物业管理、医院等行业的安全巡检的记录方式通常以&#xff1a;1、纸质记录&#xff1a;巡检人员使用纸质巡检表格&#xff0c;手动填写巡检时间、巡检区域、巡检发现的问题以及处理情况。这种方式简单直接&#xff0c;但可能存在信息记录不完整、易丢失等问题。 2、电…

Glowroot:Java应用的性能守护神,让监控变得既轻松又有趣!

Glowroot&#xff1a;Java应用的性能守护神&#xff0c;让监控变得既轻松又有趣&#xff01; 在这个快节奏的数字化时代&#xff0c;作为一名开发者&#xff0c;你是否曾因应用性能问题而夜不能寐&#xff1f;是不是常幻想有个超级英雄能在关键时刻挺身而出&#xff0c;帮你揪…

基于深度学习的人体关键点检测与姿态识别

文章目录 源码下载地址&#xff1a; 源码地址在视频简介中 深度学习人体关键点检测&#xff0c;姿态识别 界面效果&#xff1a; 界面代码&#xff1a; from PyQt5.QtGui import * from PyQt5.QtWidgets import * from PyQt5.QtGui import * from PyQt5.QtWidgets import * f…

先经营好自己,才是成事最坚实的基础!做事要稳!

电影《教父》里有句著名的台词说&#xff1a;花半秒钟就能看透事物本质的人&#xff0c;和花一辈子也看不透事物本质的人&#xff0c;注定是截然不同的命运。而这所谓的“看透本质”&#xff0c;就是事物的底层逻辑。 底层逻辑是一种解决问题的思维模式。底层逻辑越坚固&#x…

SharePoint 使用renderListDataAsStream方法查询list超过5000时的数据

问题&#xff1a; 当SharePoint List里的数据超过5000时&#xff0c;如果使用常用的rest api去获取数据&#xff0c;例如 await this.sp.web.lists.getByTitle(Document Library).rootFolder.files.select(*, listItemAllFields).expand(listItemAllFields).filter(listItemA…

科技控必看!让你轻松成为机器人领域达人

科技控们注意了&#xff01;你是不是经常对机器人技术充满无限的好奇&#xff0c;却又因为缺乏合适的渠道而难以深入了解和亲身体验呢&#xff1f;别担心&#xff0c;BFT机器人&#xff0c;正是你探索机器人世界的绝佳之地&#xff01; 在这里&#xff0c;你将发现一个充满惊喜…

更高效环保!格力博重新定义“中高端”割草机

格力博&#xff08;江苏&#xff09;股份有限公司&#xff08;以下简称&#xff1a;格力博或公司&#xff09;作为全球新能源园林机械行业的领先企业&#xff0c;始终走在创新前沿。自2007年开始从事新能源园林机械的研发、设计、生产及销售&#xff0c;格力博始终践行绿色发展…

el-carousel走马灯页数回到第一页

我的走马灯是在一个弹窗里,包裹着一些button,切换到下一页时 关闭弹窗再打开弹窗还显示的是上次第二页位置 领导很不满意 1. 2.写在你打开弹窗或者关闭弹窗的位置 this.$refs.carousel && (this.$refs.carousel.activeIndex 0); 解释一下: this.$refs.carousel: thi…

FPGA第二篇,FPGA与CPU GPU APU DSP NPU TPU 之间的关系与区别

简介&#xff1a;首先&#xff0c;FPGA与CPU GPU APU NPU TPU DSP这些不同类型的处理器&#xff0c;可以被统称为"处理器"或者"加速器"。它们在计算机硬件系统中承担着核心的计算和处理任务&#xff0c;可以说是系统的"大脑"和"加速引擎&qu…

Go 语言基础之指针、复合类型【数组、切片、指针、map、struct】

1、数组 特别需要注意的是&#xff1a;在 Go 语言中&#xff0c;数组长度也是数组类型的一部分&#xff01;所以尽管元素类型相同但是长度不同的两个数组&#xff0c;它们的类型并不相同。 1.1、数组的初始化 1.1.1、通过初始化列表{}来设置值 var arr [3]int // int类型的数…

String类 StringBuffer 类 StringBuilder 类

String 类的理解和创建对象 1&#xff0c;String 对象用于保存字符串&#xff0c;也就是一组字符数列2&#xff0c;字符串常量对象是用双引号括起的字符序列。例如&#xff1a;“你好”、“12.97”、“boy”等3&#xff0c;字符串的字符使用Unicode字符编码&#xff0c;一个字…

【喜讯】热烈祝贺蒋林华教授当选玻利维亚国家科学院院士

2024年4月29日&#xff0c;人工智能领域知名专家蒋林华教授受邀出席北京中关村论坛侨海创新发展平行论坛&#xff0c;在玻利维亚国家参议院参议员马马尼纳瓦罗希拉里昂&#xff08;Mamani Navarro Hilarion&#xff09;和拉莫斯索帕萨桑托斯&#xff08;Ramos Socpaza Santos&a…

Linux学习笔记:信号

信号 在Linux中什么是信号信号的产生方式硬件产生的信号软件产生的信号异常产生的信号 进程对信号的处理信号的保存信号方法更改函数signal信号处理的更改恢复默认信号忽略 信号的管理信号集 sigset_t对信号集的操作 信号的捕捉过程 在Linux中什么是信号 在 Linux 系统中&…

使用ROW_NUMBER()分组遇到的坑

1、再一次清洗数据时&#xff0c;需要过滤重复数据&#xff0c;使用了ROW_NUMBER() 来分组给每组数据排序号 在获取每组的第一行数据 with records as(select cc.F_Id as Id,REPLACE(cc.F_CNKITitle,char(10),1) as F_CNKITitle,REPLACE(REPLACE(cc.F_Special,专题&#xff1…

从封号之痛出发:探索自养号测评,助力eBay卖家破局重生

在跨境电商的浪潮中&#xff0c;eBay作为知名的电商平台&#xff0c;吸引了众多卖家前来拓展业务。然而&#xff0c;近年来不少卖家反映&#xff0c;因环境问题导致eBay账号被封号&#xff0c;成为他们业务发展的痛点。为此&#xff0c;本文将探讨如何通过自养号测评&#xff0…

学习方法的重要性

原贴&#xff1a;https://www.cnblogs.com/feily/p/13999204.html 原贴&#xff1a;https://36kr.com/p/1236733055209095 1、 “一万小时定律”的正确和误区 正确&#xff1a; 天才和大师的非凡&#xff0c;不是真的天资超人一等&#xff0c;而是付出了持续不断的努力&…

QLineEdit 最右侧添加按钮

如果采用QLineEdit + QPushButton的方式的话,无法将按钮放到QLineEdit的输入框内部,所以下面的方法可以将按钮放到QLineEdit内部的最右侧,效果: 代码如下: QLineEdit* editor = new QLineEdit(parent); QToolButton* btn = new QToolButton; btn->setText("...&q…

【操作系统】进程与线程概念基础知识

进程与线程概念基础知识 进程进程的概念进程控制块进程状态进程三状态模型挂起进程模模型进程的上下文切换进程控制 线程为什么引入线程线程的概念线程与进程的比较线程的上下文切换线程的实现 进程 进程的概念 1. 进程的定义&#xff1a; 进程是指一个具有一定独立功能的程序…