浅谈零信任架构
企业的网络基础设施日益复杂,安全边界逐渐模糊。一方面,云计算、移动互联等技术的采用让企业的人和业务、数据“走”出了企业的边界;另一方面,大数据、物联网等新业务的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河。
企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,亟需新的网络安全架构应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势,零信任架构在这种背景下应运而生,学术界和产业界投入了大量精力进行研究。
图 1 基于边界的传统网络安全架构
一、零信任的诞生
零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。
2010年,零信任这个术语正式出现,并指出所有的网络流量都是不可信的,这个时期专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。
以身份为基石的架构体系逐渐得到业界主流的认可。
2014年,Google基于内部项目BeyondCorp的研究成果,构建零信任架构。
2017年,Gartner将其自适应安全架构优化为持续自适应风险与信任评估构架。
二、零信任的定义
零信任本质是以身份为基石的动态可信访问控制。它需要满足五个准则:
- 网络无时无刻不处于危险的环境中;
- 网络中自始至终存在外部或内部威胁;
- 网络的位置不足以决定网络的可信程度;
- 所有的设备、用户和网络流量都应当经过认证和授权;
- 安全策略必须是动态的,并基于尽可能多的数据源计算而来。
根据零信任的定义和准则,可以提取、凝练出四个要素:分别是(1)身份为基石,(2)业务安全访问,(3)持续信任评估,(4)动态访问控制。
三、零信任架构模型
(一)以身份为基石
基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。
图 2 以身份为基石
(二)业务安全访问
零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。
图 3业务安全访问
(三)持续信任评估
持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。
图 4 持续信任评估
(四)动态访问控制
动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
图 5 动态访问控制
四、零信任架构组件
基于零信任模型架构,以搭建面向实际应用的零信任系统为目标,需要依赖于四个核心组件—(1)可信代理,(2)动态访问控制引擎,(3)信任评估引擎,(4)身份安全基础设施。
(一)可信代理
可信代理是零信任架构的数据平面组件,是确保业务安全访问的第一道关口,是动态访问控制能力的策略执行点。
可信代理拦截访问请求后,通过动态访问控制引擎对访问主体进行认证,对访问主体的权限进行动态判定。只有认证通过、并且具有访问权限的访问请求才予以放行。
(二)动态访问控制引擎
动态访问控制引擎和可信代理联动,对所有访问请求进行认证和动态授权,是零信任架构控制平面的策略判定点。
动态访问控制引擎对所有的访问请求进行权限判定,权限判定不再基于简单的静态规则,而是基于上下文属性、信任等级和安全策略进行动态判定。
(三)信任评估引擎
信任评估引擎是是零信任架构中实现持续信任评估能力的核心组件,和动态访问控制引擎联动,为其提供信任等级评估作为授权判定依据。
信任评估引擎持续接收可信代理、动态访问控制引擎的日志信息,结合身份库、权限库数据,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,为动态访问控制引擎提供决策依据。
另外,信任评估引擎也可以接收外部安全分析平台的分析结果,这些外部风险源可以很好的补充身份分析所需的场景数据,丰富上下文,从而进行更精准的风险识别和信任评估。
(四)身份安全基础设施
身份基础设施是是实现零信任架构以身份为基石能力的关键支撑组件。
身份基础设施至少包含身份管理和权限管理功能组件,通过身份管理实现各种实体的身份化及身份生命周期管理,通过权限管理,对授权策略进行细粒度的管理和跟踪分析。
五 、思考与总结
通过从零信任的发展、定义、模型架构、模型组件等角度纵深剖析零信任架构,我们最终进行了如下总结与思考。
零信任架构目前只是应用于企业网络系统的防御,实际应用到公共服务中目前还存在着一些的困难。具体原因包括:
- 零信任的原则是以身份为基石,为每个参与到网络之中的角色分配一个具体的数字身份,而真正的公共服务中角色数量过于庞大,为每个角色分配数字身份进行权限控制会导致网络负载过大的问题。
- 零信任架构存在着一个权限控制中心,这个控制中心必须位于绝对安全的位置,如企业内网的防护中心,而公共服务较难做到这一点。
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
相关文章
- 6600个组织遭到了10万多次BEC攻击
- Docker敏感信息防泄露实践
- 瑞士年轻黑客入侵15万个摄像头 或将入狱20年
- 网络电缆被拔出是什么意思
- 该不该给人脸识别热潮“降降温”?
- 一日一技:在Ocelot网关中实现IdentityServer4密码模式
- 3.25 亿!REvil 勒索团伙又出动,这次中大型企业躺枪了
- KindleDrip:价值18000美元的Kindle漏洞
- 路透:微软先被黑客入侵,又被利用攻击他人
- 这次不是黑客!美输油管道刚恢复运营 网络又现故障
- 国外研究人员发现Zoom中存在多个安全漏洞
- 一张图告诉你,如何构建内网隐蔽通道
- 伪造的 jQuery Migrate 插件生成恶意文件感染 WordPress 网站
- 攻击美国油管公司的DarkSide被查封,现已关闭运营
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 3微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 4二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 5win7蓝屏代码7f指什 怎么解决 很严重
- 6高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
- 7华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 8安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 9手机今日头条取消订阅的方法
- 10Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
常用系统
- 1深度技术 Windows 10 x64 企业版 电脑城装机版2020年11月(64位) 高速下载
- 2笔记本&台式机专用系统GhostWin7 64位新春特别 旗舰版2022年2月(64位) 高速下载
- 3雨林木风Ghost Win7 x64 SP1 极速装机版2020年12月(64位) 高速下载
- 4雨林木风 Windows10 x64 企业装机版2020年5月(64位) ISO镜像高速下载
- 5笔记本系统Ghost Win8.1 (32位) 极速纯净版2020年8月(免激活) ISO镜像高速下载
- 6番茄花园 Windows 10 极速企业版 版本1903 2021年11月(32位) ISO镜像快速下载
- 7电脑公司 装机专用系统Windows10 x64 企业正式版2018年8月(64位)ISO镜像下载
- 8番茄花园 Windows 10 元旦特别 极速企业版 版本1903 2022年1月(32位) ISO镜像快速下载
- 9番茄花园Ghost Win8.1 (X32) 纯净版2022年4月(免激活) ISO镜像免费下载
- 10番茄花园 Windows 10 官方企业版 2020年12月(64位) ISO高速下载