导语:
随着互联网的普及,高级威胁和内部风险也日益增强,特别是移动互联的飞速发展,远程办公、异地分支的大量应用,网络边界越来越模糊,传统的网络安全架构已难以满足安全新需求。零信任网络打破了传统的认证即信任的思维,建立起一套以资源为中心,以识别、认证、动态访问控制、授权、审计以及监测为链条的多维信任算法为基础,认证达末端的动态零信任安全架构。
一、传统网络安全架构:
传统网络安全一般在网络边界上设置隔离认证区进行认证与控制。将网络划分为内部网络和外部网络。一般认为内部网络是可信的,外部网络是不可信的。内部网络可以根据业务系统的需要划分为若干个在物理或逻辑上相隔离的子网络。子网络内用户间的通信是自由的。为维护内部网络安全,内外网之间通过边界隔离设备进行连接可控通信。可是传统网络存在信任过度问题,这就会导致在面对从内部网络发起的攻击时,我们将会毫无招架之力。而且有时候即使攻击来自于外部,只要穿过边界防护这道大门,也可以在内部网络可以肆意横行。
这势必会造成传统的网络安全架构无法满足现如今的安全防护。
二、零信任网络安全架构:
1架构模型
零信任网络在任何一个用户,任何一台设备,发起的任何一次连接,申请的任何一次服务,在通过认证策略判决前均认为是不可信的。它的认证不再是一站式服务,而是细化到了一事一论。零信任网络逻辑如下图所示。
在零信任网络中,主体对客体的访问服务请求是否通过,由策略判决模块完成,并将判决结果告知策略执行模块,由策略执行模块决定访问通道是否打开或关闭。策略判决模块可分为策略引擎和策略管理两部分。策略引擎负责通过信任算法进行信任评分。
2信任评估算法
信任评估算法是零信任网络的大脑,维护整个零信任网络的正常运转。信任算法的输入包括用户信息、设备状态、访问信息、行为属性、访问策略以及外部威胁情报等。进行信任评估时,采集当前的用户信息、设备状态、访问信息以及行为属性,与存储在策略引擎中的相应基准值进行比较,计算其偏差,将上述偏差值汇总风险分析系统分析所得的风险,结合所要访问资源的属性进行最终的判断。基准值可以动态调整。
3核心思想
零信任安全的核心思想是怀疑一切,不再以网络边界为限,将内部定义成可信任的。零信任网络对资源的访问授权都是一事一议,不在接受横行关联。零信任安全的核心思想也以保护资源为主,并且实施最小权限原则来保障精确访问决策,最后零信任安全会持续验证每个访问请求的可行性。
写在最后:指掌易专注于零信任安全领域,深耕多年,致力为用户提供完整的移动业务安全整体解决方案。秉承“客户第一、追求卓越”的理念,通过优质的产品和解决方案帮助运营商用户解决在数字化转型中遇到的难点和痛点,并获得了运营商行业的广泛认可。未来,指掌易将继续加大技术创新力度,为运营商行业提供更加丰富的产品和技术服务,安全、合规、高效地推进运营商行业信息化转型,助力运营商跑出“加速度”。
