漫谈企业信息化安全 - 零信任架构

news2024/11/15 8:07:26

一、引言

《万物简史》的作者比尔·布来森说,当他小的时候学科学的时候,好像这些科学家们都是有一种本领,把科学总是以一种让人看不懂的方式说得神乎其神,好像有藏着什么不可告人的秘密。因此,想要写一本让大家都能看得懂的书,让大家了解世界是怎么运作的。

在信息技术领域也是一样,我们会看到很多新的名词、各种专有名词的因为缩写,听起来是那么地高大上。实际上,我们追本溯源,就能了解事情的真相。在这一篇文章中,我们就来介绍什么是零信任,为什么会有人提出零信任这样的需求,它能为我们解决什么问题,您的企业是否需要实施零信任等等基本问题。

二、零信任的精髓

创新都是需求驱动的,在信息安全上也同样如此。以前我们提到安全,很多时候只限于在电脑上安装杀毒软件,在公司网络上安装上防火墙,就基本上没有问题了,可是为什么现在信息安全问题就变得更复杂了呢?这是因为随着各种需求的涌现,让企业的IT基础架构变得越来越复杂,如何应对与之伴生的安全威胁也变得越来越严峻,因此需要有更新的技术在解决信息安全问题。

在下图中,描述了很多现代企业信息化的一些需求:

  1. 移动办公/BYOD,随着移动互联网的快速发展、以及社会环境的影响,越来越来的企业面临居家办公、移动办公等混合办公模式、用户使用自带设备接入企业服务的情形,在这种情况下,如果确保移动办公、BYOD的信息安全是其中一个需求

  2. 远程办公/分支机构,这个和移动办公类似

  3. 供应商/第三方访问,为了提升企业工作效率,企业可能需要与供应商/第三方协作,在协作过程中,如何确保信息安全?

  4. 云服务及构建在公有云上的私有化服务,SaaS/PaaS/IaaS等以云服务形式提供的信息基础架构虽然简化了企业服务的部署,但是这些服务都是部署在Internet网络上,如何确保这些云服务访问的安全?

  5. 本地应用和构建在本地的私有化应用,这些应用如何为各种用户提供访问,并确保安全?

  6. 身份验证,企业中要各种各样的系统和服务,也会有各种各样的身份验证,如何对身份验证进行更行之有效的管控?

传统上,IT 行业依赖 外围安全策略 来保护其最有价值的资源,如用户数据和知识产权。 这些安全策略涉及使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。 然而,数字化转型和混合云基础结构迁移之旅正在改变各个行业开展业务的方式。 依赖网络外围已不再足够。

零信任是一种用于保护组织的安全模型,它的理念是默认不信任任何人员或设备,即使人员或设备已经位于组织的网络内也是如此。零信任方法在整个网络中(而不仅仅是在可信边界上)强制执行严格的身份验证和授权,以消除隐式信任。在此模型中,每个访问资源的请求都被视为来自不受信任的网络,系统会对其进行检查、身份验证和核实。

说到信息安全,不管是传统的安全模型,还是零信任安全模型,它关注的是两个核心问题:

  1. 数据传输过程中安全(Data at Transition),即数据以各种方式流动过程中的安全

  2. 数据存储的安全(Data at Rest),即数据静态存储中的安全

只是传统的安全模型,在新的信息架构下,已不能满足信息安全要求,因此要用新的安全模型来进一步增强信息安全。

三、零信任的典型架构

零信任并不是一个产品的名字,而是一种安全模型和理念。零信任理念最早由福布斯(Forrester)研究公司的分析师约翰·肯纳(John Kindervag)于2010年提出。

而后,美国的国家标准与技术研究院(NIST)发布了关于零信任架构的标准SP 800-207,在SP 800-207标准中,零信任架构的如下:

上图中,各组件的含义如下:

1)策略引擎(Policy Engine):此组件负责最终决定是否授予特定主体对资源的访问权限。

2)策略管理员(Policy Adaministrator):此组件负责建立和/或关闭主体与资源之间的通信路径(通过向相关的策略执行点(PEP)发送指令)。

3)策略执行点(Policy Enforcement Point):此系统负责启用、监控并最终终止主体与企业资源之间的连接。PEP与策略管理员(PA)进行通信,以转发请求和/或接收来自PA的策略更新。

4)持续诊断与缓解(CDM)系统:该系统收集有关企业资产当前状态的信息,并对配置和软件组件应用更新。

5)行业合规系统:此系统确保企业遵守其所适用的任何监管制度(例如,FISMA、医疗或金融行业的信息安全要求)。

6)威胁情报馈送:此系统提供来自内部或外部来源的信息,帮助策略引擎做出访问决策。

7)网络和系统活动日志:该企业系统汇总资产日志、网络流量、资源访问操作以及其他事件,提供有关企业信息系统安全状况的实时(或接近实时)反馈。

8)数据访问策略:这些是关于访问企业资源的属性、规则和政策。

9)企业公钥基础设施(PKI):该系统负责生成并记录企业颁发给资源、主体、服务和应用程序的证书。

10)身份管理系统:负责创建、存储和管理企业用户账户和身份记录(例如,轻量级目录访问协议(LDAP)服务器)。

11)安全信息与事件管理(SIEM)系统:负责收集安全相关的信息以供后续分析。

四、零信任能帮助用户解决的问题

零信任是一种理念,在实施零信任安全架构时,可以从下面的一些关键原则入手:

  1. 不信任: 不信任内部或外部网络,将所有用户、设备和应用程序视为潜在的威胁,需要进行适当的验证和授权才能访问资源。

  2. 严格访问控制: 采用最小特权原则,对资源的访问权限进行精确控制,只授权用户访问其所需的资源和服务。

  3. 持续身份验证: 不仅在用户登录时进行身份验证,还需要在用户会话期间持续监控和验证其身份、设备状态和行为。

  4. 全面可见性: 实现对网络、用户和数据活动的全面可见性,以及对安全事件和威胁的及时检测、响应和调查。

  5. 零信任架构: 通过构建多层次的安全防御和控制来实现零信任策略,包括网络分割、加密、多因素身份验证等技术手段。

这些原则共同构成了零信任安全模型的基础,旨在提高网络安全性并降低潜在的安全风险。

通过实施零信任安全架构,可以帮助用户解决如下的一些问题:

  1. 提高数据安全性: 通过严格的访问控制和持续身份验证,防止未经授权的用户或设备访问敏感数据,从而提高数据安全性。

  2. 减少内部和外部威胁: 不信任网络内的任何用户或设备,即使是已经通过认证的用户,也需要经过持续的身份验证和访问控制,从而降低内部和外部威胁的风险。

  3. 提高网络可见性: 通过实时监控和记录用户和设备的活动,实现对网络活动的全面可见性,及时发现和应对潜在的安全威胁。

  4. 简化安全管理: 零信任安全架构将安全策略集中在用户和资源的访问控制上,简化了安全管理和策略执行,降低了管理成本和复杂性。

  5. 加强合规性: 通过严格的访问控制和持续身份验证,确保企业网络符合法规和行业标准的安全要求,提高了合规性。

  6. 增强移动和远程工作安全性: 零信任安全架构不依赖于传统的边界防御,使得远程用户和移动设备也能够获得与本地用户相同的安全保护,增强了移动和远程工作的安全性。

五、你需要零信任相关的产品吗?

我们先来看看谁不需要零信任产品,或者说不值得实施零信任相关产品,而可以改用其他替代方案的场景:

  1. 小型组织或个人用户: 对于规模较小的组织或个人用户来说,可能没有足够的资源或需要来实施复杂的零信任安全框架,因此可能会选择更简单、成本更低的安全解决方案。

  2. 特定场景下的低风险环境: 对于一些低风险的特定场景,如非敏感性数据的公共信息网站、临时性项目等,可能不需要投入大量资源来实施零信任安全策略。

  3. 传统网络边界仍然有效的环境: 如果某些组织的传统网络边界安全措施已经足够有效,能够有效防御内部和外部威胁,那么可能不需要立即转向零信任模型。

  4. 临时性或短期项目: 对于一些临时性或短期性的项目,可能不值得为其实施复杂的零信任安全框架,而是可以采取一些简单、快速的安全措施来满足项目的安全需求。

  5. 不涉及敏感数据的环境: 对于一些不涉及敏感数据的环境,如公共信息网站、演示系统等,可能不需要采取严格的零信任安全措施。

除开这些不需要转向零信任方案的场景,其他场景是建议考虑逐步转向零信任方案,分步骤实施零信任模型中的关键特性,最终让企业的信息安全能够上升到一个新的台阶。

六、相关的一些名词解释

在讨论零信任话题时,其实会经常出现一些名词,这些名词和零信任都或多或少有关联,在此,对这些名词及其含义做一些罗列:

  1. ZTNA(Zero Trust Network Access)/零信任网络访问: 相比于零信任架构(ZTA)是一种安全架构而言,零信任网络访问(ZTNA)是一种具体的安全解决方案,即它是具体的一种产品,ZTNA基于严格的身份验证和持续的安全评估,不依赖传统的网络边界。ZTNA可以被看作是ZTA的一部分或一种实现形式。ZTNA专注于提供对特定应用和资源的安全访问,而ZTA则是一个更广泛的框架,涵盖了整个IT环境中的零信任原则。它提供了比传统VPN更细致的网络访问控制

    1. 细粒度访问控制: 仅授予用户访问特定应用或资源的权限,而不是整个网络。

    2. 动态身份验证: 使用多因素身份验证(MFA)和持续监控来验证用户身份。

    3. 加密通信: 确保所有访问流量在传输过程中是加密的,防止数据泄露。

  2. SDP(Software Defined Perimeter)/软件定义边界:SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。

  3. SSO、IdP、IdB:

    1. SSO (Single Sign On)/单点登录:使用统一身份登录多个服务的用户登录方式

    2. IdP (Identity Provider)/身份提供者:IdP是负责管理和验证用户身份的服务或系统。IdP通常支持多种身份验证和授权协议,如SAML(安全断言标记语言)、OAuth、OpenID Connect等,以与各种应用程序和服务集成。

    3. IdB(Identity Broker)/身份代理:用于管理和整合多个身份验证和授权系统,以提供统一的用户身份认证和访问控制。

  4. PAM(Privileged Access Management)/特权访问管理:是一种网络安全领域的解决方案,专注于管理和监控对于系统、网络和数据等关键资源的特权访问。PAM系统旨在确保只有经过授权的用户可以访问特权账号和敏感数据,同时提供审计和监控功能,以减少滥用特权访问所带来的风险。通俗的说法就是对于那些具有特权的账号如何进行使用和管理,譬如Linux的Root账号、Windows的Administrator账号,因为特权账号对于企业里的关键数据有更高的访问权限。

  5. SWG(Secure Web Gateway)/安全Web网关:是一种网络安全解决方案,用于保护组织网络免受恶意网络流量和网络攻击的影响。安全网关位于组织的网络边界,监视和过滤进出网络的流量,以确保网络安全和数据保护。

  6. DLP(Data Loss Prevention)/数据丢失防护:DLP是指数据丢失防护(Data Loss Prevention),是一种信息安全策略和技术,旨在防止敏感数据在未经授权的情况下被访问、使用、传输或泄露。DLP解决方案通过监控和控制数据流动,保护企业和组织的机密信息和敏感数据,如客户信息、财务数据、知识产权等。

  7. EDR(Endpoint Detection and Response)/终端检测与响应:是一种专注于监控、检测和响应端点设备(如计算机、服务器、移动设备等)上的安全威胁的网络安全解决方案。EDR系统旨在提供对端点设备的可见性,帮助安全团队迅速识别、调查和响应各种安全事件。

  8. TPA(Third Party Access)/第三方访问:是指允许外部实体(如合作伙伴、供应商、承包商、服务提供商或外部用户)访问企业内部系统、应用程序或数据的权限和策略。管理和控制第三方访问是确保网络安全和数据保护的重要方面。

  9. SASE(Secure Access Service Edge)/安全访问服务边界:是一种网络架构模型,结合了网络和安全服务,以提供统一的云原生服务。SASE由Gartner在2019年首次提出,旨在应对现代企业对灵活、安全和高效的网络访问需求。SASE通过将广域网(WAN)功能与网络安全功能整合到一个云服务框架中,为分布式企业提供一致的安全访问。

  10. UEM(Unified Endpoint Management)/统一终端管理:UEM用于管理和保护企业中的所有端点设备,包括桌面计算机、笔记本电脑、智能手机、平板电脑、物联网(IoT)设备等。UEM整合了多个设备管理技术,如移动设备管理(MDM)、移动应用管理(MAM)和传统的客户端管理工具,以提供统一的管理平台和策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1701793.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

IT项目管理 第四、六、七章复习记录

网络图是项目活动之间逻辑关系或顺序的示意图,有两种主要格式: 箭头图(AOA)前导图/优先图(PDM) 箭头图 活动用箭头表示。节点或圆圈是活动的起点和终点。只能显示从完成到开始依赖。 前导图 活动由方框…

UE_地编教程_创建地形洞材质

个人学习笔记,不喜勿喷。侵权立删! 使用地形洞材质来遮罩地形上特定位置的可视性和碰撞。如要在山脉侧面创建进入洞穴的入口,此操作将非常有用。可使用地形材质和地形洞材质的相同材质,但注意:对比不使用不透明蒙版的…

icloud照片怎么恢复到相册?2个方法,轻松解决烦恼

在现代生活中,照片承载着我们的回忆和珍贵的时刻,而iCloud提供了便捷的云存储服务,让用户可以方便地备份和同步手机上的照片、视频等文件。 然而,有时候我们可能会不小心删除了在iCloud上的照片,或者想要将iCloud照片…

数据挖掘案例-航空公司客户价值分析

文章目录 1. 案例背景2. 分析方法与过程2.1 分析流程步骤2.2 分析过程1. 数据探索分析2. 描述性统计分析3. 分布分析1.客户基本信息分布分析2. 客户乘机信息分布分析3. 客户积分信息分布分析 4. 相关性分析 3. 数据预处理3.1 数据清洗3.2 属性约束3. 3 数据转换 4. 模型构建4. …

AI大模型探索之路-实战篇8:多轮对话与Function Calling技术应用

系列篇章💥 AI大模型探索之路-实战篇4:深入DB-GPT数据应用开发框架调研 AI大模型探索之路-实战篇5:探索Open Interpreter开放代码解释器调研 AI大模型探索之路-实战篇6:掌握Function Calling的详细流程 AI大模型探索之路-实战篇7…

一次编辑00

题目链接 一次编辑 题目描述 注意点 只能进行一次(或者零次)编辑 解答思路 首先判断两个字符串的长度,如果长度相差大于1,说明一次编辑无法通过一次编辑变换而来通过两个指针idx1和idx2指向first和second,初始idx1和idx2指向的都是同一个…

Android 系统日志(Log) JNI实现流程源码分析

1、JNI概述 Java Native Interface (JNI) 是一种编程框架,使得Java代码能够与用其他编程语言(如C和C)编写的本地代码进行交互。JNI允许Java代码调用本地代码的函数,也允许本地代码调用Java代码的函数。下面是对JNI机制的详细概述…

无人机助力光伏项目测绘建模

随着全球对可再生能源需求的不断增长,光伏项目作为其中的重要一环,其建设规模和速度都在不断提高。在这一背景下,如何高效、准确地完成光伏项目的测绘与建模工作,成为了行业发展的重要课题。近年来,无人机技术的快速发…

帝国CMS如何修改时间格式,变成几分钟,几小时教程

该插件已经在帝国cms6.6上测试通过&#xff0c;至于其他版本&#xff0c;请自行测试。 目前支持&#xff1a;标签模板&#xff0c;列表模板&#xff0c;内容模板 安装说明&#xff1a; 把以下的内容复制到 /e/class/userfun.php 文件里&#xff08;放在<?php和?>之间…

亚马逊云科技专家分享 | OPENAIGC开发者大赛能量加油站6月5日场预约开启~

由联想拯救者、AIGC开放社区、英特尔联合主办的“AI生成未来第二届拯救者杯OPENAIGC开发者大赛”自上线以来&#xff0c;吸引了广大开发者的热情参与。 为了向技术开发者、业务人员、高校学生、以及个体创业人员等参赛者们提供更充分的帮助与支持&#xff0c;AIGC开放社区特别…

eNSP华为模拟器-DHCP配置

拓扑图 要求 PC1通过DHCP获取192.168.1.1地址PC2和PC3通过DHCP接口地址池方式获取IP地址配置静态路由使其ping通 配置 配置主机名及接口IP地址 # AR1 <Huawei>sys Enter system view, return user view with CtrlZ. [Huawei]sys AR1 [AR1]int g0/0/0 [AR1-Gigabit…

『ZJUBCA Weekly Feed 07』MEV | AO超并行计算机 | Eigen layer AVS生态

一文读懂MEV&#xff1a;区块链的黑暗森林法则 01 &#x1f4a1;TL;DR 这篇文章介绍了区块链中的最大可提取价值&#xff08;MEV&#xff09;概念&#xff0c;MEV 让矿工和验证者通过抢先交易、尾随交易和三明治攻击等手段获利&#xff0c;但也导致网络拥堵和交易费用增加。为了…

微信小程序进阶(1)--自定义组件

自定义组件 1.1 什么是自定义组件 开发文档&#xff1a;https://developers.weixin.qq.com/miniprogram/dev/framework/custom-component/ 小程序中常常会有些通用的交互模块&#xff0c;比如&#xff1a;下拉选择列表、搜索框、日期选择器等&#xff1b;这些界面交互模块可…

c语言--结构体

前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 结构体概念简介 c语言数组是一些相同类型的数据的集合。 这个结构体就是一些可以是不同类型的集合。 比如描述班里的一个人&#xff0c;他可能需要名字(字符串),也需要年龄(整数)。 这种情况就需要用结构体。 …

苹果手机备忘录共享到微信,为何显示不支持的类型

作为一名苹果手机用户&#xff0c;我深知其系统的流畅与便捷。然而&#xff0c;在日常使用中&#xff0c;我发现了一个令人不解的问题&#xff1a;为何苹果手机的原生备忘录无法直接分享到微信&#xff1f;每次当我尝试将备忘录里的内容共享给微信好友时&#xff0c;总会遇到“…

六西格玛培训的讲师应该具备哪些能力?

六西格玛培训的讲师作为专业知识的传授者和实践经验的分享者&#xff0c;其能力水平的高低直接决定了培训效果的好坏。那么&#xff0c;一个优秀的六西格玛培训讲师应该具备哪些能力呢&#xff1f;深圳天行健企业管理咨询公司解析如下&#xff1a; 首先&#xff0c;六西格玛培训…

AIGC行业的发展前景与市场需求

简介&#xff1a;探讨当前时机是否适合进入AIGC行业&#xff0c;考虑行业发展阶段和市场需求。 方向一&#xff1a;行业前景 AIGC&#xff08;人工智能生成内容&#xff09;行业是近年来随着人工智能技术的快速发展而兴起的一个新兴领域&#xff0c;它涉及到使用人工智能技术来…

R实验 随机变量及其分布

实验目的&#xff1a; 掌握常见几种离散性随机变量及其分布在R语言中对应的函数用法&#xff1b;掌握常见几种连续性随机变量及其分布在R语言中对应的函数用法&#xff1b;掌握统计量的定义及统计三大抽样分布在R语言中对应的函数用法。 实验内容&#xff1a; &#xff08;习题…

PyTorch的数据处理

&#x1f4a5;今天看一下 PyTorch数据通常的处理方法~ 一般我们会将dataset用来封装自己的数据集&#xff0c;dataloader用于读取数据 Dataset格式说明 &#x1f4ac;dataset定义了这个数据集的总长度&#xff0c;以及会返回哪些参数&#xff0c;模板&#xff1a; from tor…

element ui 的el-input输入一个字后失去焦点,需重新点击输入框才能再次输入!

解决方案&#xff1a; 我是form表单嵌套表格&#xff0c;里面的el-input输入框&#xff0c;输入第一个值的时候会突然失去焦点&#xff0c;需要再次点击输入框才能正常输入&#xff0c;原因是table的key值&#xff0c;需要改成正常的index即可&#xff0c;如果你是循环的&…