¶ 什么是零信任网络
¶ 什么是零信任?
「零信任」既不是技术也不是产品,而是一种安全理念。根据 NIST《零信任架构标准》中的定义: 「零信任(Zero Trust)」提供了一系列概念和思想,假定网络环境已经被攻陷,在执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
¶ 零信任的策略
简单来讲,「零信任」的策略就是「不相信任何人」,除非明确接入者身份,否则将无法通过验证,进行下一步操作。传统的访问验证方式只需要知道 IP 地址或主机信息,便可通过验证,而如今零信任的验证模型,需要更清晰、更明确的信息才准许通过,如若不清楚用户身份、访问来源、授权途径等信息,访问请求则会被立即拒绝。
¶ 零信任的主流技术
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
软件定义边界(SDP)
软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。 之所以被称为黑云,和其预期达到的效果有关。SDP 可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。 当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。 根据云安全联盟的定义,SDP 的主要组件包括发起主机(客户端),接受主机(服务端)和 SDP 控制器,客户端和服务端都会连接到这些控制器。二者间的连接通过 SDP 控制器与安全控制信道的交互来管理。
身份识别与访问管理(IAM)
身份识别与访问管理(IAM)是网络安全领域中的一个细分方向。IAM 产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何访问,访问后可以执行哪些操作。
IAM 的核心主要几个方向:
- 认证:通过确认实体(包含人与设备等)的身份,建立信任,其中包括多因素认证等。
- 访问控制:确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。
- 身份治理:对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。
- 特权身份管理:是对管理员等权限较高的账户等进行进一步管理。
微隔离(MSG)
微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API 对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。 零信任“从不信任、持续验证”的理念契合了去边界化的安全状况,现在网络安全最大的挑战是私有应用程序的访问端口十分分散,以及内部用户权限过多,这两方面正是零信任理念可以解决的问题。
¶ 以身份为中心
零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。
面对频发的数据泄露事件和不断上升的经济损失,企业越来越意识到,如果仅靠现有的安全方法,并不足以应对愈趋严峻的安全态势,他们需要更好的东西,而零信任安全体系恰好就能给出最好的结果。
Authing 作为中国领先的云计算身份基础设施,正是「零信任」安全体系下身份安全基础设施的产品实现。Authing 利用云原生架构,结合零信任安全体系,通过提供一整套开发套件,满足企业内部员工身份管理、外部客户身份管理、老应用兼容、新应用开发等全部场景的需求。
数据越来越多,安全越来越重要。数据泄露频发,让企业和用户丧失安全感。零信任网络能提供更好的数据泄露防护,让网络边界内外的任何东西,在未经验证前都不予信任。「零信任」是对网络安全行业的重大颠覆,网络安全问题将引导着企业向零信任的网络安全模式转变。