传统安全常见的有以下几类:
发生变革
现有TCP/IP协议和互联网是为互联互通而设计,没有考虑太多的安全控制。
任何主机之间可以相互通信,黑客可以探测互联网络中的任意目标。
而在现实中,我们要约见相关的人或去某些单位不但要认证身份,甚至需要提前预约和审批。
即使有了防火墙将外网的攻击进行阻挡,整个内网的机器之间也是可以相互访问。
零信任的出现,主要基于两项原因:
发展历程
主要流派
为了实现零信任(Zero Trust),不同机构发布、定义、开发出了不同的架构,也称之为不同的流派。下面让我们探索一下8个最出名的流派:
流派一:Forrester
最早提出零信任一词的是咨询机构Forrester的分析员约翰·金德维格(John Kindervag)。
他提到了三个核心观点:
1. 不再以一个清晰的边界来划分信任或不信任的设备
2. 不再有信任或不信任的网络
3. 不再有信任或不信任的用户
然而在提出该概念后不久,金德维格便离职了……
随后由Forrester的另一位分析师查斯·坎宁安(Chase Cunningham)继续探究零信任的可能性,并于2018年提出了ZTX(零信任扩展)架构。
该架构有三个重点:
1. 范围从网络扩展到设备、用户和工作负载
2. 能力从微隔离扩展到可视化与分析、自动化与编排
3. 身份不仅仅针对用户,还包括IP地址、MAC地址、操作系统等
流派二:Google BeyondCorp
BeyondCorp是中国做零信任网络安全的机构最为熟悉的边界安全安全模型,也是零信任在中国真正的起源。
其六篇论文指引着全中国的IT运维人员对自身的安全服务架构进行了下一代网络安全的调整。
架构图 ▲
流派三:Google BeyondProd
正如边界安全模型不再适合最终用户一样,BeyondCorp也不再适用于微服务。
Google在论文中提到:“此模型的关键假设已不再成立:边界不再仅仅是企业 [数据中心] 的物理位置,并且边界内的区域不再是托管微服务的安全可靠之处。”
因此,基于微服务防护的BeyondProd诞生了。
BeyondProd的设计原则有以下五点:
流派四:微软 Microsoft 365 零信任实践
使用基于Azure AD有条件访问的Microsoft 365零信任网络,有条件访问和Azure Active Directory Identity Protection可基于用户、设备、位置和每次资源请求的对话风险等信息做出动态访问控制决策。
把经过验证的并与Windows设备安全状态相关的运行时信号和用户对话和身份的信任度结合起来,以实现最佳的安全状态。
流派五:Gartner CARTA
Gartner的CARTA(持续自适应风险与信任评估)模型将零信任和攻击防护相结合,形成了持续的风险和信任评估。
因为它过于庞大及复杂,在发布2年后被ZTNA所取代。
流派六:Gartner ZTNA
Gartner于2019年4月29日发布了一篇名为《Market Guide for Zero Trust Network Access》(零信任网络访问ZTNA市场指南)的行业报告。
该报告中为零信任网络访问(ZTNA)做了市场定义:也称为软件定义边界(SDP),是围绕某个应用或一组应用创建的基于身份和上下文的逻辑访问边界。
应用是隐藏的,无法被发现,并且通过信息代理限制一组指定实体访问。在允许访问之前,代理会验证指定访问者的身份、上下文的策略合规性。
这个机制将把应用资源从公共视野中消除,从而显著减少攻击面。
该报告也做了以下预测:
2022年:面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络访问进行访问。
2023年:60%的企业将淘汰大部分VPN(远程访问虚拟专用网络),转而使用零信任网络访问。40%的企业将采用零信任网络访问用于报告中描述的其他使用场景。
基于客户端访问的概念模型图 ▲
基于API代理访问的概念模型图 ▲
流派七:CSA SDP
国际云安全联盟(CSA)于2013年成立SDP(软件定义边界)工作组,并由美国中央情报局(CIA)的CTO担任工作组组长。
CSA于2014年发布SPEC 1.0。
SDP的目的是应对边界模糊化带来的粗粒度控制问题,以及保护企业数据安全。为达到目标,采取的方式是构建虚拟的企业边界,以及基于身份的访问控制。
架构图 ▲
流派八:NIST SP800-207
NIST(National Institute of Standards and Technology)是直属于美国商务部下的美国国家标准与技术研究院。
NIST的SP800-207零信任架构草案是第一次由研究组织发布的基于文档形式的零信任架构设计详细指导。
零信任的价值价值所在
美国国防部 (Department of Defense, DoD) 曾在2019年发布的数字现代化战略 (Digital Modernization Strategy) 中提出了联合信息环境 (Joint Information Environment, JIE) 全景,明确指出了在美国国家范围内的每个网络、系统、应用程序和企业服务都必须通过设计实现安全 (must be secure by design) ,在整个获取生命周期内对网络安全进行管理。
美国国防信息系统局 (Defense Information Systems Agency, DISA) 在其2019-2022年的战略计划中明确将零信任安全列为美国国家优先发展技术。
中华人民共和国工业和信息化部(工信部)于2019年9月发布的《关于促进网络安全产业发展的指导意见》中将 “到2025年,培育形成一批年营收超过20亿的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿。” 列为发展目标。将零信任安全列为主要任务中的着力突破网络安全关键技术。
工信部文稿内容 ▲
技术方案
目前有三种已知的零信任技术方案,每一种技术方案的特点导致它们适用于不同的连接场景。
1. IAM(身份及访问管理)
2. Microsegmentation(微隔离)
3. SDP(软件定义边界)
详细架构图 ▲
基于上述三种技术方案的连接场景,安几研发出天域零信任产品,适用于各类网络连接场景,从而达到 “有连接,就可用” 。
应用场景规划图 ▲
Copyright © 2024 妖气游戏网 www.17u1u.com All Rights Reserved