导语:
云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全架构难以应对,零信任安全架构应运而生。零信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。
一、 零信任的起源
要说零信任安全框架就不得不说零信任的起源,零信任的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。这期间只有个模糊的概念,并没有明确下来,直到2013年国际云安全联盟成立软件定义边界(SDP)工作组。SDP作为新一代网络安全解决理念,其整个中心思想是通过软件的方式,在移动和云化的时代,构建一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的粗粒度控制问题,以此达到保护企业数据安全的目的。再到2018年Forrester提出零信任拓展生态系统(Zero Trust eXtended, ZTX)研究报告,将视角从网络扩展到用户、设备和工作负载,将能力从微隔离扩展到可视化、分析、自动化编排,并提出身份不仅仅针对用户,还包括IP地址、MAC 地址、操作系统等。
二、零信任安全架构的三大技术
NIST标准的发布,首次提出了零信任的官方标准定义以及实践技术架构,强调零信任是个安全理念而非技术,并指出目前实现零信任架构的三大技术“SIM”,即软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。
1、软件定义边界(SDP)
SDP旨在使应用程序所有者能在需要时部署安全边界,以便将服务与不安全的网络隔离开。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件,仅在设备验证和身份验证后才允许访问企业应用基础架构。
2、身份识别与访问管理(IAM)
零信任强调基于身份的信任链条,即该身份在可信终端,该身份拥有权限才可对资源进行请求。传统的IAM系统可以协助解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。通过IAM将身份信息(身份吊销离职、身份过期、身份异常等)传递给零信任系统后,零信任系统可以通过IAM系统的身份信息来分配相应权限,而通过IAM系统对身份的唯一标识,可有利于零信任系统确认用户可信,通过唯一标识对用户身份建立起终端、资源的信任关系,并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。
3、微隔离(MSG)
微隔离本质上是一种网络安全隔离技术,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独立的安全段定义访问控制策略。
三、零信任安全架构延伸
零信任架构对传统的边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用,而是应该基于认证、授权和加密技术重构访问控制的信任基础,并且这种授权和信任不是静态的,它需要基于对访问主体的信任评估进行动态调整。
四、写在最后
随着移动远程办公、云计算等技术的快速发展,传统的安全边界正在瓦解,传统安全防护建设理念已无法应对移动互联时代的安全挑战。指掌易基于以上背景,率先提出一种建设思路:基于零信任理念,为企业建立安全接入网关,对访问主体的身份可信度进行持续评估和动态访问控制,同时实现业务应用服务隐藏和数据安全传输,再和终端数据安全方案集合起来形成一个完整的闭环保护方案。自成立以来指掌易一直坚持技术创新,不断追求进步,指掌易零信任安全架构成功帮助上千家行业用户提高业务效率。
