零信任Zero Trust:从开局到落地的发展进程
(图片来自知乎)
近年来,零信任理念在不断发展、快速演变中,零信任可以减少数据泄露、拒绝未授权的访问,因此在数据安全方面价值巨大。零信任应用场景不仅仅是远程办公,SaaS运营安全、大数据中心、云安全平台等都是典型的应用场景……一时间,各路英雄齐聚零信任江湖,争相探索破局之路。
01
万物互联时代,零信任的流行很大程度上源于网络边界泛化带来的安全风险。其“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型,能够有效帮助企业在数字化转型中解决曾经难以解决的难题,也因此受到市场追捧。
从国外市场来看,在零信任市场“跑马圈地”的路径主要分为三类。谷歌是最早投入零信任安全架构研发与实践的公司,整整花了6年时间才在企业网实现了零信任落地。业内专家指出,谷歌走的是一条典型的自用转外销的道路,通过内部项目孵化实现技术溢出价值。微软、阿卡迈(Akamai)等巨头也走的是同一条路。思科、派拓网络、赛门铁克(Symantec)、优利系统(Unisys)等公司则是采用收购方式快速在零信任市场占领高地。此外,还有一批独角兽企业值得关注,如Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。它们以技术先进性“出圈”,颇受资本青睐,成长潜力惊人。
02
SASE或ZTE孰为实现路径?
业界普遍认为,Forrester提出的零信任是近十年来最重要的安全创新理念。零信任的重要性被充分认知之后,Gartner提出了SASE(安全访问服务边缘)模型,而紧接着Forrester提出ZTE(零信任边缘)模型。这两个模型被认为是从边缘侧实现零信任的有效途径,在业内掀起热烈讨论。相较而言,SASE强调网络和安全紧耦合,所以要求单一提供商提供全套SASE产品;ZTE强调网络和安全解耦,认为可以多个供应商集成。实施路线方面,SASE强调网络和安全同步走;ZTE强调零信任先行,网络重构滞后。
有观点认为,Forrester的边缘安全推进策略,显得相当务实,也更加重视零信任。相比之下,Gartner的边缘安全推进策略,就太理想化了。但也有观点认为,无论是SASE还是ZTE,最终目的“殊途同归”,实现边缘数据安全将成为零信任相关产品的主要落地方向。
03
取代VPN成为网络安全未来?
自零信任大火以来,关于其是否会取代传统虚拟专用网络(VPN)成为网络安全未来的讨论声从未停歇。VPN指的是一种在公共网络上建立专用数据通道的技术,在企业网络中有广泛应用。它通过对数据包的加密和数据包目标地址的转换实现远程访问,可以简单理解成是虚拟出来的企业内部专线。相较而言,VPN侧重于解决不可信链路上的安全通信问题,而零信任架构在确保链路安全可信之余,核心解决端到端的安全防护、访问控制权限等问题。
“现阶段零信任和传统VPN并存,主要受限于机构进行零信任改造、升级的速度。”腾讯企业 IT 安全架构师蔡东赟指出,“从长远来看,零信任解决方案将会替代传统VPN的全部功能和适用场景,而部分传统VPN产品可能会根据零信任理念扩展升级成为零信任的核心组件。”根据Gartner预测,到2023年将有60%的VPN被零信任取代。
参考文章:https://mp.weixin.qq.com/s/vsB2LbrybkqpuSGRBJ-4lg
让可信的人进来,让不可信的人“进去”
零信任建立的是以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。它的核心目标就是解决边界问题带来的安全风险。
1
创宇零信任网关产品概述
“创宇零信任网关” 是基于“零信任”安全体系打造的以身份认证与动态信任为基础的安全硬件产品。零信任网关不再依赖传统的防火墙物理边界,进行访问管控;而是根据用户、设备、网络环境、访问行为等基于尽量多的数据源进行风险衡量,通过持续性的数据收集、校验与评估从而达到基于身份认证的动态安全访问控制。为企业应用和服务提供统一管理、统一防控、统一审计,保障企业应用和服务更安全、更可靠。
2
创宇零信任技术原理
创宇零信任网关通过可信代理、策略引擎以及信任评估引擎三个核心引擎实现零信任访问控制(如下图所示)。创宇零信任网关在收到请求后,会根据当前请求用户的网络参数、位置参数、环境参数以及历史画像进行智能评估,以判断当前请求放行后可能造成的风险等级,网关将根据风险等级决定对请求的处理,并将处理的结果持久化用于进行威胁情报分析等,将系统的安全及风险直观展示出来。
3
创宇零信任产品特色
l 细粒度权限管控
最小权限原则是零信任安全架构必须遵循的实践之一,创宇零信任网关基于身份进行细粒度的访问控制,只赋予用户完成特定工作所需的最小访问权限,以便应对越来越严峻的越权横向移动风险。同时系统会根据用户的登陆习惯变化(如时间、地理位置、网络等),并结合网络环境检测分析,动态调整用户授权策略,始终控制用户的最小访问权限。通过这样的方式,可以极大地缓解凭证窃取、越权访问等带来的安全威胁。
l 持续信任评估,权限动态调整
创宇零信任网关不止与一次登录时的身份验证,而包含登录后访问业务系统的整个过程。即使该用户近期发起的请求都是合法的,也将针对其每个请求进行实时检测、威胁定级;对于不同的风险级别,授予不同信任程度,分配不同的权限。通过这种持续的信任评估,最大程度的避免外部威胁的入侵,为资源(资产)提供更高效的保护。
l AI+大数据打造智能安全基线
创宇零信任网关将AI、大数据等技术与业务高度融合;通过持续的监控请求,采集日志数据和用户的实时操作行为,形成历史基线。在新的请求到来时,根据当前请求的参数与历史基线比较进行决策,从而决定当前请求的威胁等级。通过在业务过程中悄无声息验证用户风险情况,快速发现异常,及时做出用户访问权限修改决策。
l 威胁情报联动,共筑安全环境
创宇零信任网关根据请求发起者的网络环境进行安全分析,结合知道创宇累积多年的海量威胁情报数据,弥补对外部威胁的盲区,知己知彼。通过快速的感知、响应能力,判断请求来源的网络是否安全可信,从而确定请求的可信级别以及威胁等级,拦截可疑请求,阻断威胁。
欢迎关注下方知道创宇云防御,我们将为用户提供更便捷、更安全、更有价值的零信任安全方案和产品,助力客户网络安全体系向零信任架构迁移,帮助用户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 习近平拉美之行的三个“一” 7938602
- 2 山里藏价值6000亿元黄金?村民发声 7973799
- 3 微信或史诗级“瘦身” 内存有救了 7853964
- 4 中国主张成为G20峰会的一抹亮色 7700372
- 5 朝鲜将军队提升至战斗准备状态 7667564
- 6 广东潮汕现“关门潮”?社区回应 7560900
- 7 女教师被指出轨学生 校方通报 7432401
- 8 美元创下一年来最长连涨纪录 7378028
- 9 带96岁母亲酒店养老遭拉黑 男子发声 7224786
- 10 千年古镇“因网而变、因数而兴” 7126008