零信任作为解决方案,Hvv还能打进去么?

news2024/12/28 3:47:55

零信任平台由“中心+组件+服务”三大部分构成,以平台形式充分融合软件定义边界(SDP)身份与访问管理(IAM)、微隔离 (MSG)的技术方案优势,通过关键技术的创新,实现最佳可信访问控制和安全隔离,为用户在业务层、数据层、终端层的访问达到“从不信任,始终验证”的安全效果,提升整体安全水平的同时降低了安全复杂性和运营开销。

ZTA平台方案主要包括零信任中心、零信任组件和服务支撑三个部分。零信任中心负责进行访问主体的信任分析和评估,零信任组件负责执行访问控制策略,服务支撑则提供持续的安全运营服务。关键技术包括第3代SPA技术、新一代沙箱技术、动态访问控制列表(ACL)技术和三层转四层隧道技术等。

ZTA平台通过融合这些技术,实现对网络流量的精准控制和保护,有效降低网络攻击的风险。它适用于跨国、跨地区的庞大业务规模和复杂业务场景,能够帮助企业构建一个安全与业务融合的零信任闭环,提高企业的网络安全防护能力。

一、零信任平台方案

ZTA平台由零信任中心零信任组件服务支撑三部分组成,各部分相互协作,共同实现平台功能。零信任中心包括分析中心控制中心,负责信任等级评估和访问策略控制;零信任组件执行访问控制策略,兼具情报收集和安全防护;服务支撑部分则保障平台持续迭代、安全防御和业务优化,确保业务访问合规安全。

图片

01、零信任控制中心

在ZTA平台中扮演核心角色,负责身份认证管理、应用管理和策略管理。它通过联动信任分析中心和零信任组件,提供全面的控制功能。身份认证管理确保用户、终端等身份的认证和权限管理,应用管理根据访问需求确定安全发布机制,而策略管理则提供动态控制策略以应对不同环境下的访问需求。控制中心通过分析中心的风险评估和信任评估来动态调整访问控制策略,并下发给执行组件实施。

02、零信任分析中心

零信任分析中心为控制中心提供决策支持,通过多源数据综合风险分析,包括用户访问行为和环境信息,以确定访问策略。零信任组件包括SDP代理网关、DGW、SASE-PA网关等,根据不同业务场景执行安全策略。SDP代理网关适用于互联网和远程办公,DGW适合内网办公,而SASE-PA网关适用于跨地区分支机构的云化访问。这些网关各有特点,如SDP代理网关通过代理模式减少暴露面,DGW采用防火墙架构,SASE-PA网关则提供云上的灵活性和安全性。

03、零信任组件

零信任组件包括SDP代理网关、DGW和SASE-PA网关,它们根据不同的业务场景执行安全策略。SDP代理网关适用于互联网和远程办公,通过代理模式减少业务系统暴露,并采用安全措施如SPA技术进行防护DGW适用于内网办公,采用防火墙架构,对内网客户端进行应用级校验。SASE-PA网关适用于跨地区分支机构的云化访问,通过云部署提供灵活的组网和安全的业务访问。每种网关在故障处理和部署特点上有所不同,SDP和DGW需特定恢复措施,而SASE-PA网关则易于部署和扩展,适合云托管场景。

04、零信任平台的落地

传统的网络安全防御体系与业务系统相对独立,主要采用“黑名单”策略。ZTA平台作为一种新型安全架构,与业务需求和安全能力紧密结合,强化“白环境”检测,通过三个阶段逐步构建完整的业务安全防御体系。

第一阶段聚焦远程接入,减少业务暴露面

图片

第二阶段升级内网和分支机构访问安全;

图片

第三阶段深入数据中心内部访问控制

图片

运营阶段需专业团队通过可视化报表和自动化技术,持续提升安全能力,实现动态自适应的安全策略调整。

二、零信任核心技术

01、身份驱动的访问控制

零信任安全访问控制的核心是身份驱动的访问控制,要求流量身份化和先认证后访问。在ZTA平台中,客户端需先完成身份验证才能建立业务连接,与传统远程办公场景相比,减少了业务暴露面和被攻击的风险。SDP代理网关使用SPA技术和隧道技术实现流量身份化和端口隐藏,而DGW场景则通过前置验证包实现应用级鉴权。整个过程分为两个阶段:身份校验和业务连接建立,确保只有验证通过的客户端能访问业务端口。

图片

02、动态访问控制列表(ACL)技术

ZTA平台中的安全策略引擎采用动态ACL技术和两种主流模式:信任评分机制和规则机制。信任评分机制分为配置评分和智能评分,而规则机制通过设定安全策略基线来实现。ZTA平台采用规则+评分的混合模式,以规则为主,评分辅助,遵循“安全有原则,管理有灰度,信任有智慧”的理念。动态ACL考虑时间、位置、应用程序等多种维度,实现细粒度控制。智能评分模式下,零信任中心与终端安全设备联动进行环境评估;规则模式下,通过安全评估与可信进程标签匹配,支持策略差异化。

03、隧道技术

隧道技术通过引流、传输和代理三个关键步骤在传输层面实现安全控制。传统三层引流技术通过虚拟网卡和路由实现引流,具有良好的兼容性,但受网络波动影响较大。三层转四层技术则使用轻量级IP协议栈,将流量从三层转换到四层,通过TCP短连接发送至网关,提高了传输效率,尤其是在大文件传输和下载场景中。

总结:

零信任是一种内生安全模型,通过强调业务“白”化能力与业务深度融合,构建了安全与生产力的平衡。它优先保障业务可用性,并以系统化思维提升业务安全免疫力,为数字化社会提供安全建设方向和“可信”基石。零信任架构是一种保护企业资产的系统和操作设计指南,不是一个单一架构。零信任平台融合多种技术优势,为企业提供业务与安全并行的网络环境,是保障数字化发展的重要途径。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1923327.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PointCloudLib LocalMaximum_DeleteMaxPoint C++版本

测试效果 简介 在点云库(Point Cloud Library,PCL)中,处理点云数据时,经常需要去除局部最大点(Local Maximum),这通常用于去除噪声、提取特定形状的特征或者简化点云数据。局部最大…

python制作甘特图的基本知识(附Demo)

目录 前言1. matplotlib2. plotly 前言 甘特图是一种常见的项目管理工具,用于表示项目任务的时间进度 直观地看到项目的各个任务在时间上的分布和进度 常用的绘制甘特图的工具是 matplotlib 和 plotly 主要以Demo的形式展示 1. matplotlib 功能强大的绘图库&a…

江苏职教高考 计算机 C语言 复习资料

江苏职教高考计算机专业考试内容为 文化课专业课 其中专业课包含: 计算机原理45分 计算机组维45分 计算机网络60分 C语言 6080分 电子电工90分 具体资料可查看链接 链接:https://pan.baidu.com/s/1OXD-zK4V3NsLLDMwfXcTlA?pwd2822 提取码&…

风华绝代林徽因

林徽因 ◉ 卡西莫多 风华绝代林家女,呕心依护古胜迹 短暂一生半百余,忆念至今两甲子 山河有恙因她彩,窈窕淑女众倾慕 不只因她姿颜色,更因巾帼硬风骨 2024年7月12日

Anaconda+Pycharm 项目运行保姆级教程(附带视频)

最近很多小白在问如何用anacondapycharm运行一个深度学习项目,进行代码复现呢?于是写下这篇文章希望能浅浅起到一个指导作用。 附视频讲解地址:AnacondaPycharm项目运行实例_哔哩哔哩_bilibili 一、项目运行前的准备(软件安装&…

【C++深入学习】类和对象(一)

欢迎来到HarperLee的学习笔记! 博主主页传送门:HarperLee博客主页! 欢迎各位大佬交流学习! 本篇本章正式进入C的类和对象部分,本部分知识分为三小节。复习: 结构体复习–内存对齐编译和链接函数栈桢的创建…

如何用码上飞解决企微上真实需求来接单赚米

在企微的工作台中有一个「需求模块」,所有的企微用户都可以在上面提出自己的需求。 例如张三说“在企微上我怎么样才可以把一个客户发的语音,转给另一个客户听?” 李四说“我需要一个能每天在工作群里定时发布信息并能自动修改日期的功能。…

240713-Xinference模型下载、管理及测试

Step 1. 安装Xinference 安装 — Xinference Step 2. 下载模型 方式1: UI界面下载 命令行启动Xinference: xinference-local --host 0.0.0.0 --port 9997在localhost:9997中,通过左侧的Launch Model 配置并下载模型如果模型已下载或配置好&#xff…

好莱坞级别AI视频工具Odyssey亮相!AI世界动态回顾

好莱坞级别的视觉AI:Odyssey 首先,我们要提到的就是Odyssey——一款新晋AI视频工具,它以其好莱坞级别的视觉AI能力引起了广泛关注。奥德赛展示的一些片段令人印象深刻,包括精美的无人机镜头、风景画面以及专业级的B-roll素材。虽…

2024年公司电脑屏幕监控软件推荐|6款好用的屏幕监控软件盘点!

在当今的商业环境中,确保员工的工作效率和数据安全是每个企业管理者的重要任务。屏幕监控软件通过实时监控和记录员工的电脑活动,帮助企业有效地管理和优化工作流程。 1.固信软件 固信软件https://www.gooxion.com/ 主要特点: 实时屏幕监控…

python web自动化测试

安装 seleinum # 设置镜像 pip install statsmodels -i https://pypi.tuna.tsinghua.edu.cn/simple/ pip install selenium安装chrome driver 1、查看chrome的版本 2、https://googlechromelabs.github.io/chrome-for-testing/#stable 上面下载对应版本的chrome driver 只要…

Python | Leetcode Python题解之第230题二叉搜索树中第K小的元素

题目: 题解: class AVL:"""平衡二叉搜索树(AVL树):允许重复值"""class Node:"""平衡二叉搜索树结点"""__slots__ ("val", "parent&quo…

快速理解java的volatile关键字

volatile有啥用呢? volatile是 JVM 提供的 轻量级 的同步机制(有三大特性) 保证可见性 不保证原子性 禁止指令重排 好汉你别激动,同步机制说白了就是 syhconized,这种机制你可以这样理解就是在一段时间内有序的发生操作。假如一…

创建SpringBoot聚合项目

创建SpringBoot聚合项目 需求&#xff1a;以仓库管理系统(warehouse management system)wms为例创建聚合项目 1、创建空项目文件夹 2、创建父工程 删掉src&#xff0c;配置夫工程的pom配置 <properties><maven.compiler.source>8</maven.compiler.source><…

【C++】C++入门实战教程(打造属于自己的C++知识库)

目录 目录 写在前面 1.C学习路线 2.本教程框架介绍 一.C基础部分 1.程序编码规范 2.程序运行与编译 3.关键字 4.常用数据类型 5.运算符相关 二.C进阶部分 1.面向对象编程 2.函数编程 3.模板编程 4.多线程与并发 5.STL介绍及使用 6.内存模型与优化 三.C实战部…

【vue教程】一. 环境搭建与代码规范配置

目录 引言Vue 框架概述起源与设计理念核心特性优势 Vue 开发环境搭建环境要求安装 Vue CLI创建 Vue 项目项目结构介绍运行与构建 组件实例基础模板响应式更新 代码规范为什么要使用代码规范在 Vue 项目中使用 ESLint 、PrettierESLint配置 ESLintrules 自定义错误级别 Prettier…

【Linux杂货铺】3.程序地址空间

1.程序地址空间的引入 fork(&#xff09;函数在调用的时候子如果是子进程则返回0&#xff0c;如果是父进程则返回子进程的pid&#xff0c;在代码中我们分别在子进程和父进程读取全局变量g_val的时候居然出现了俩个不同的值。如下&#xff1a; #include<stdio.h> #includ…

【Linux信号】阻塞信号、信号在内核中的表示、信号集操作函数、sigprocmask、sigpending

我们先来了解一下关于信号的一些常见概念&#xff1a; 实际执行 信号的处理动作 称为信号递达。 信号从产生到递达的之间的状态称为信号未决。 进程可以选择阻塞(Block)某个信号。 被阻塞的信号产生时是处于未决状态的&#xff0c;知道进程解除对该信号的阻塞&#xff0c;该…

01. 课程简介

1. 课程简介 本课程的核心内容可以分为三个部分&#xff0c;分别是需要理解记忆的计算机底层基础&#xff0c;后端通用组件以及需要不断编码练习的数据结构和算法。 计算机底层基础可以包含计算机网络、操作系统、编译原理、计算机组成原理&#xff0c;后两者在面试中出现的频…

FGF14:脑部疾病新潜力靶标

成纤维细胞生长因子14&#xff08;FGF14&#xff09;是FGF11亚家族成员&#xff0c;在神经元的所有基本特性&#xff08;内在放电、兴奋性和抑制性神经元的突触传递和可塑性&#xff09;中发挥作用。 &#xff08;数据来源AlphaFold&#xff09; FGF14由247个氨基酸组成&#x…