完美世界小说下载,yy玄幻小说排行榜完本,玄幻小说改编的电视剧

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

你好，零信任！

零信任的出現(xiàn)將網(wǎng)絡(luò)防御范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個(gè)或小組資源，同時(shí)它也代表新一代的網(wǎng)絡(luò)安全防護(hù)理念，打破默認(rèn)的“信任”，秉持“持續(xù)驗(yàn)證，永不信任”原則，即默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認(rèn)證和授權(quán)，重新構(gòu)建訪問控制的信任基礎(chǔ)，確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信。本文從零信任起源、發(fā)展以及零信任架構(gòu)的三大技術(shù)等內(nèi)容，以便幫助大家更好地理解。

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)田家庵,十年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):13518219792

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)，企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時(shí)，首先尋找安全邊界，把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)等不同的區(qū)域，然后在邊界上部署防火墻、入侵檢測(cè)、WAF等產(chǎn)品。

這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全，在某種程度上預(yù)設(shè)了對(duì)內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任，忽視加強(qiáng)內(nèi)網(wǎng)安全措施。不法分子一旦突破企業(yè)的邊界安全防護(hù)進(jìn)入內(nèi)網(wǎng)，會(huì)像進(jìn)入無人之境，將帶來嚴(yán)重的后果。

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)辦公等新技術(shù)與業(yè)務(wù)的深度融合，網(wǎng)絡(luò)安全邊界也逐漸變得更加模糊，傳統(tǒng)邊界安全防護(hù)理念面臨巨大挑戰(zhàn)。在這樣的背景下，零信任架構(gòu)(Zero Trust Architecture, ZTA)應(yīng)運(yùn)而生。它打破傳統(tǒng)的認(rèn)證，即信任、邊界防護(hù)、靜態(tài)訪問控制、以網(wǎng)絡(luò)為中心等防護(hù)思路，建立起一套以身份為中心，以識(shí)別、持續(xù)認(rèn)證、動(dòng)態(tài)訪問控制、授權(quán)、審計(jì)以及監(jiān)測(cè)為鏈條，以最小化實(shí)時(shí)授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證達(dá)末端的動(dòng)態(tài)安全架構(gòu)。

一、一覽零信任發(fā)展史

2004年

零信任的最早雛形源于2004年成立的耶利哥論壇，其成立的使命正是為了定義無邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案，提出要限制基于網(wǎng)絡(luò)位置的隱式信任，并且不能依賴靜態(tài)防御。

美國(guó)國(guó)防信息系統(tǒng)局(Defense Information Systems Agency, DISA)為了解決全球信息柵格(Global Information Grid, GIG)中如何實(shí)時(shí)、動(dòng)態(tài)地對(duì)網(wǎng)絡(luò)進(jìn)行規(guī)劃和重構(gòu)的問題，發(fā)起了BlackCore項(xiàng)目，將基于邊界的安全模型轉(zhuǎn)換為基于單個(gè)事物安全性的模型，并提出了軟件定義邊界(Software Defined Perimeter, SDP)的概念，該概念后來被云安全聯(lián)盟(Cloud Security Alliance, CSA)采納。

2010年

著名研究機(jī)構(gòu)Forrester的首席分析師John正式提出了零信任這個(gè)術(shù)語，明確了零信任架構(gòu)的理念，該模型改進(jìn)了耶利哥論壇上討論的去邊界化的概念，并提出三個(gè)核心的觀點(diǎn)：

不再以一個(gè)清晰的邊界來劃分信任或不信任的設(shè)備;
不再有信任或不信任的網(wǎng)絡(luò);
不再有信任或不信任的用戶。

2013年

國(guó)際云安全聯(lián)盟成立軟件定義邊界(SDP)工作組。SDP作為新一代網(wǎng)絡(luò)安全解決理念，其整個(gè)中心思想是通過軟件的方式，在移動(dòng)和云化的時(shí)代，構(gòu)建一個(gè)虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應(yīng)對(duì)邊界模糊化帶來的粗粒度控制問題，以此達(dá)到保護(hù)企業(yè)數(shù)據(jù)安全的目的。

2014年

谷歌基于其內(nèi)部項(xiàng)目BeyondCorp的研究成果并陸續(xù)發(fā)布6篇相關(guān)論文，介紹零信任落地實(shí)踐。Beyond Corp安全訪問方法作為一種完全不信任網(wǎng)絡(luò)，采用了零信任模型安全機(jī)構(gòu)，設(shè)計(jì)理念如下：

所有網(wǎng)絡(luò)都不可信;
以合法用戶、受控設(shè)備訪問為主;
所有服務(wù)訪問都要進(jìn)行身份驗(yàn)證、授權(quán)加密處理。

2017年

Gartner在安全與風(fēng)險(xiǎn)管理峰會(huì)上發(fā)布持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估(Continuous Adaptive Risk and Trust Assessment, CARTA)模型，并提出零信任是實(shí)現(xiàn)CARTA宏圖的初始步驟，后續(xù)兩年又發(fā)布了零信任網(wǎng)絡(luò)訪問(Zero-Trust Network Access, ZTNA)市場(chǎng)指南(注：SDP被Gartner稱為ZTNA)。

CARTA是自適應(yīng)安全架構(gòu)的3.0版本，將零信任和攻擊防護(hù)相結(jié)合，強(qiáng)調(diào)通過持續(xù)風(fēng)險(xiǎn)和信任評(píng)估來判斷安全狀況，沒有絕對(duì)的安全和100%的信任，尋求一種0和1之間的風(fēng)險(xiǎn)與信任的平衡。

2018年

Forrester提出零信任拓展生態(tài)系統(tǒng)(Zero Trust eXtended, ZTX)研究報(bào)告，將視角從網(wǎng)絡(luò)擴(kuò)展到用戶、設(shè)備和工作負(fù)載，將能力從微隔離擴(kuò)展到可視化、分析、自動(dòng)化編排，并提出身份不僅僅針對(duì)用戶，還包括IP地址、MAC 地址、操作系統(tǒng)等。簡(jiǎn)言之，具有身份的任何實(shí)體包括用戶、設(shè)備、云資產(chǎn)、網(wǎng)絡(luò)分段都必須在零信任架構(gòu)下進(jìn)行識(shí)別、認(rèn)證和管理。

2020年

NIST發(fā)布的《SP800-207:Zero Trust Architecture》標(biāo)準(zhǔn)對(duì)零信任架構(gòu)ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡(luò)安全規(guī)劃，包括概念、思路和組件關(guān)系的集合，旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精準(zhǔn)訪問策略的不確定性。該標(biāo)準(zhǔn)強(qiáng)調(diào)零信任架構(gòu)中的眾多組件并不是新的技術(shù)或產(chǎn)品，而是按照零信任理念形成的一個(gè)面向用戶、設(shè)備和應(yīng)用的完整安全解決方案。

二、新網(wǎng)絡(luò)安全規(guī)劃方法——零信任架構(gòu)(ZTA)

隨著“云、大、物、移”等新興技術(shù)的興起，網(wǎng)絡(luò)現(xiàn)狀變得愈加復(fù)雜，基于邊界的傳統(tǒng)網(wǎng)絡(luò)安全規(guī)劃方法已無法滿足政企客戶的網(wǎng)絡(luò)安全需求。于是，通過將零信任概念同政企客戶網(wǎng)絡(luò)及其業(yè)務(wù)現(xiàn)狀相結(jié)合，誕生了新的網(wǎng)絡(luò)安全規(guī)劃方法——零信任架構(gòu)(ZTA)。

零信任架構(gòu)作為一種企業(yè)網(wǎng)絡(luò)安全規(guī)劃，利用了零信任概念，囊括其組件關(guān)系、工作流規(guī)劃與訪問策略，聚焦數(shù)據(jù)保護(hù)，橫向擴(kuò)展到所有政企網(wǎng)絡(luò)中的資產(chǎn)。它不是單一的網(wǎng)絡(luò)架構(gòu)，而是一套網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)計(jì)和運(yùn)行的指導(dǎo)原則，可以用來改善敏感級(jí)別的安全態(tài)勢(shì)。

與邊界模型的“信任但驗(yàn)證”不同，零信任的核心原則是“從不信任、始終驗(yàn)證”。傳統(tǒng)網(wǎng)絡(luò)安全都專注于邊界防御，授權(quán)主體可廣泛訪問內(nèi)網(wǎng)資源，而根據(jù)Evan Gilman《Zero Trust Networks》書中所述，零信任網(wǎng)絡(luò)建立在五個(gè)假設(shè)前提之下：

應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅;
外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò);
不能僅僅依靠網(wǎng)絡(luò)位置來確認(rèn)信任關(guān)系;
所有設(shè)備、用戶、網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證和授權(quán);
訪問控制策略應(yīng)該動(dòng)態(tài)地基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估。

三、零信任架構(gòu)的三大技術(shù)“SIM”

NIST標(biāo)準(zhǔn)的發(fā)布，首次提出了零信任的官方標(biāo)準(zhǔn)定義以及實(shí)踐技術(shù)架構(gòu),強(qiáng)調(diào)零信任是個(gè)安全理念而非技術(shù),并指出目前實(shí)現(xiàn)零信任架構(gòu)的三大技術(shù)“SIM”，即軟件定義邊界(SDP)、身份識(shí)別與訪問管理(IAM)、微隔離(MSG)。

軟件定義邊界(SDP)

SDP旨在使應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界,以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開。SDP將物理設(shè)備替換為在應(yīng)用程序所有者控制下運(yùn)行的邏輯組件，僅在設(shè)備驗(yàn)證和身份驗(yàn)證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。從架構(gòu)上講，基于SDP的系統(tǒng)通常會(huì)實(shí)施控制層與數(shù)據(jù)層的分離，即控制流階段，用戶及其設(shè)備進(jìn)行預(yù)認(rèn)證來獲取豐富的屬性憑據(jù)作為身份主體，以此結(jié)合基于屬性的預(yù)授權(quán)策略，映射得到僅供目標(biāo)訪問的特定設(shè)備和服務(wù)，從而可以直接建立相應(yīng)安全連接。

身份識(shí)別與訪問管理(IAM)

零信任強(qiáng)調(diào)基于身份的信任鏈條，即該身份在可信終端，該身份擁有權(quán)限才可對(duì)資源進(jìn)行請(qǐng)求。傳統(tǒng)的IAM系統(tǒng)可以協(xié)助解決身份唯一標(biāo)識(shí)、身份屬性、身份全生命周期管理的功能問題。通過IAM將身份信息(身份吊銷離職、身份過期、身份異常等)傳遞給零信任系統(tǒng)后，零信任系統(tǒng)可以通過IAM系統(tǒng)的身份信息來分配相應(yīng)權(quán)限，而通過IAM系統(tǒng)對(duì)身份的唯一標(biāo)識(shí)，可有利于零信任系統(tǒng)確認(rèn)用戶可信，通過唯一標(biāo)識(shí)對(duì)用戶身份建立起終端、資源的信任關(guān)系，并在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)實(shí)施針對(duì)關(guān)鍵用戶相關(guān)的訪問連接進(jìn)行阻斷等控制。

微隔離(MSG)

微隔離本質(zhì)上是一種網(wǎng)絡(luò)安全隔離技術(shù)，能夠在邏輯上將數(shù)據(jù)中心劃分為不同的安全段，一直到各個(gè)工作負(fù)載級(jí)別，然后為每個(gè)獨(dú)立的安全段定義訪問控制策略。它主要聚焦在云平臺(tái)東西向流量的隔離，一是區(qū)別傳統(tǒng)物理防火墻的隔離作用，二是更加貼近云計(jì)算環(huán)境中的真實(shí)需求。微隔離將網(wǎng)絡(luò)邊界安全理念發(fā)揮到極致，將網(wǎng)絡(luò)邊界分割到盡可能的小，能夠很好的緩解傳統(tǒng)邊界安全理念下的邊界過度信任帶來的安全風(fēng)險(xiǎn)。

零信任安全模型之所以一直受到行業(yè)廣泛關(guān)注，是因?yàn)樵趥鹘y(tǒng)安全架構(gòu)設(shè)計(jì)中，邊界防護(hù)無法確保內(nèi)部系統(tǒng)的安全性能。尤其是隨著5G、云計(jì)算等新興技術(shù)的融入，加劇了邊界模糊化、訪問路徑多樣化，造成傳統(tǒng)邊界防護(hù)無從入手。

面對(duì)日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，風(fēng)險(xiǎn)持續(xù)預(yù)測(cè)、動(dòng)態(tài)授權(quán)、最小化原則的“零信任”創(chuàng)新性安全思維契合數(shù)字基建新技術(shù)特點(diǎn)，借助云、網(wǎng)絡(luò)、安全、AI、大數(shù)據(jù)的技術(shù)發(fā)展，著力提升信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性，成為網(wǎng)絡(luò)安全保障體系升級(jí)的中流砥柱，推動(dòng)了零信任安全架構(gòu)時(shí)代的到來。

網(wǎng)頁名稱：你好，零信任！
標(biāo)題來源：http://m.fisionsoft.com.cn/article/codspoe.html