漫谈企业信息化安全 - 零信任架构
https://img2024.cnblogs.com/blog/1977281/202405/1977281-20240527145455297-1038011653.jpg一、弁言
《万物简史》的作者比尔·布来森说,当他小的时间学科学的时间,似乎这些科学家们都是有一种本领,把科学总是以一种让人看不懂的方式说得神乎其神,似乎有藏着什么不可告人的机密。因此,想要写一本让大家都能看得懂的书,让大家了解天下是怎么运作的。
在信息技术范畴也是一样,我们会看到很多新的名词、各种专有名词的因为缩写,听起来是那么地高大上。实际上,我们追本溯源,就能了解事情的真相。在这一篇文章中,我们就来介绍什么是零信任,为什么会有人提出零信任这样的需求,它能为我们解决什么问题,您的企业是否需要实验零信任等等基本问题。
二、零信任的精髓
创新都是需求驱动的,在信息安全上也同样云云。以前我们提到安全,很多时间只限于在电脑上安装杀毒软件,在公司网络上安装上防火墙,就基本上没有问题了,但是为什么现在信息安全问题就变得更复杂了呢?这是因为随着各种需求的涌现,让企业的IT底子架构变得越来越复杂,如何应对与之伴生的安全威胁也变得越来越严峻,因此需要有更新的技术在解决信息安全问题。
在下图中,形貌了很多当代企业信息化的一些需求:
https://img2024.cnblogs.com/blog/1977281/202405/1977281-20240527145445010-1157781823.png
[*]移动办公/BYOD,随着移动互联网的快速发展、以及社会环境的影响,越来越来的企业面临居家办公、移动办公等混合办公模式、用户使用自带设备接入企业服务的情况,在这种情况下,假如确保移动办公、BYOD的信息安满是其中一个需求
[*]远程办公/分支机构,这个和移动办公类似
[*]供应商/第三方访问,为了提升企业工作服从,企业大概需要与供应商/第三方协作,在协作过程中,如何确保信息安全?
[*]云服务及构建在公有云上的私有化服务,SaaS/PaaS/IaaS等以云服务形式提供的信息底子架构虽然简化了企业服务的部署,但是这些服务都是部署在Internet网络上,如何确保这些云服务访问的安全?
[*]当地应用和构建在当地的私有化应用,这些应用如何为各种用户提供访问,并确保安全?
[*]身份验证,企业中要各种各样的体系和服务,也会有各种各样的身份验证,如何对身份验证进行更行之有用的管控?
传统上,IT 行业依赖 外围安全策略 来保护其最有价值的资源,如用户数据和知识产权。 这些安全策略涉及使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。 然而,数字化转型和混合云底子结构迁徙之旅正在改变各个行业开展业务的方式。 依赖网络外围已不再充足。
零信任是一种用于保护组织的安全模型,它的理念是默认不信任任何人员或设备,即使人员或设备已经位于组织的网络内也是云云。零信任方法在整个网络中(而不仅仅是在可信界限上)强制执行严酷的身份验证和授权,以消除隐式信任。在此模型中,每个访问资源的请求都被视为来自不受信任的网络,体系会对其进行检查、身份验证和核实。
说到信息安全,不管是传统的安全模型,照旧零信任安全模型,它关注的是两个焦点问题:
[*]数据传输过程中安全(Data at Transition),即数据以各种方式流动过程中的安全
[*]数据存储的安全(Data at Rest),即数据静态存储中的安全
只是传统的安全模型,在新的信息架构下,已不能满足信息安全要求,因此要用新的安全模型来进一步增强信息安全。
三、零信任的典范架构
零信任并不是一个产品的名字,而是一种安全模型和理念。零信任理念最早由福布斯(Forrester)研究公司的分析师约翰·肯纳(John Kindervag)于2010年提出。
而后,美国的国家标准与技术研究院(NIST)发布了关于零信任架构的标准SP 800-207,在SP 800-207标准中,零信任架构的如下:
https://img2024.cnblogs.com/blog/1977281/202405/1977281-20240527145816778-1489837915.png
上图中,各组件的寄义如下:
1)策略引擎(Policy Engine):此组件负责终极决定是否授予特定主体对资源的访问权限。
2)策略管理员(Policy Adaministrator):此组件负责创建和/或关闭主体与资源之间的通讯路径(通过向相干的策略执行点(PEP)发送指令)。
3)策略执行点(Policy Enforcement Point):此体系负责启用、监控并终极终止主体与企业资源之间的连接。PEP与策略管理员(PA)进行通讯,以转发请求和/或接收来自PA的策略更新。
4)持续诊断与缓解(CDM)体系:该体系网络有关企业资产当前状态的信息,并对配置和软件组件应用更新。
5)行业合规体系:此体系确保企业遵守其所适用的任何监管制度(例如,FISMA、医疗或金融行业的信息安全要求)。
6)威胁情报馈送:此体系提供来自内部或外部来源的信息,帮助策略引擎做出访问决策。
7)网络和体系活动日记:该企业体系汇总资产日记、网络流量、资源访问操作以及其他事件,提供有关企业信息体系安全状况的实时(或接近实时)反馈。
8)数据访问策略:这些是关于访问企业资源的属性、规则和政策。
9)企业公钥底子设施(PKI):该体系负责生成并记录企业颁发给资源、主体、服务和应用程序的证书。
10)身份管理体系:负责创建、存储和管理企业用户账户和身份记录(例如,轻量级目录访问协议(LDAP)服务器)。
11)安全信息与事件管理(SIEM)体系:负责网络安全相干的信息以供后续分析。
四、零信任能帮助用户解决的问题
零信任是一种理念,在实验零信任安全架构时,可以从下面的一些关键原则入手:
[*]不信任: 不信任内部或外部网络,将全部用户、设备和应用程序视为潜伏的威胁,需要进行适当的验证和授权才华访问资源。
[*]严酷访问控制: 接纳最小特权原则,对资源的访问权限进行正确控制,只授权用户访问其所需的资源和服务。
[*]持续身份验证: 不仅在用户登录时进行身份验证,还需要在用户会话期间持续监控和验证其身份、设备状态和行为。
[*]全面可见性: 实现对网络、用户和数据活动的全面可见性,以及对安全事件和威胁的实时检测、响应和观察。
[*]零信任架构: 通过构建多层次的安全防御和控制来实现零信任策略,包括网络分割、加密、多因素身份验证等技术本领。
这些原则共同构成了零信任安全模型的底子,旨在提高网络安全性并降低潜伏的安全风险。
通过实验零信任安全架构,可以帮助用户解决如下的一些问题:
[*]提高数据安全性: 通过严酷的访问控制和持续身份验证,防止未经授权的用户或设备访问敏感数据,从而提高数据安全性。
[*]减少内部和外部威胁: 不信任网络内的任何用户或设备,即使是已经通过认证的用户,也需要经过持续的身份验证和访问控制,从而降低内部和外部威胁的风险。
[*]提高网络可见性: 通过实时监控和记录用户和设备的活动,实现对网络活动的全面可见性,实时发现和应对潜伏的安全威胁。
[*]简化安全管理: 零信任安全架构将安全策略会合在用户和资源的访问控制上,简化了安全管理和策略执行,降低了管理本钱和复杂性。
[*]加强合规性: 通过严酷的访问控制和持续身份验证,确保企业网络符合法规和行业标准的安全要求,提高了合规性。
[*]增强移动和远程工作安全性: 零信任安全架构不依赖于传统的界限防御,使得远程用户和移动设备也可以或许获得与当地用户雷同的安全保护,增强了移动和远程工作的安全性。
五、你需要零信任相干的产品吗?
我们先来看看谁不需要零信任产品,或者说不值得实验零信任相干产品,而可以改用其他替代方案的场景:
[*]小型组织或个人用户: 对于规模较小的组织或个人用户来说,大概没有充足的资源或需要来实验复杂的零信任安全框架,因此大概会选择更简朴、本钱更低的安全解决方案。
[*]特定场景下的低风险环境: 对于一些低风险的特定场景,如非敏感性数据的公共信息网站、临时性项目等,大概不需要投入大量资源来实验零信任安全策略。
[*]传统网络界限仍然有用的环境: 假如某些组织的传统网络界限安全措施已经充足有用,可以或许有用防御内部和外部威胁,那么大概不需要立刻转向零信任模型。
[*]临时性或短期项目: 对于一些临时性或短期性的项目,大概不值得为着实施复杂的零信任安全框架,而是可以采取一些简朴、快速的安全措施来满足项目的安全需求。
[*]不涉及敏感数据的环境: 对于一些不涉及敏感数据的环境,如公共信息网站、演示体系等,大概不需要采取严酷的零信任安全措施。
除开这些不需要转向零信任方案的场景,其他场景是建议考虑渐渐转向零信任方案,分步调实验零信任模型中的关键特性,终极让企业的信息安万可以或许上升到一个新的台阶。
六、相干的一些名词解释
在讨论零信任话题时,着实会经常出现一些名词,这些名词和零信任都或多或少有关联,在此,对这些名词及其寄义做一些摆列:
[*]ZTNA(Zero Trust Network Access)/零信任网络访问: 相比于零信任架构(ZTA)是一种安全架构而言,零信任网络访问(ZTNA)是一种具体的安全解决方案,即它是具体的一种产品,ZTNA基于严酷的身份验证和持续的安全评估,不依赖传统的网络界限。ZTNA可以被看作是ZTA的一部分或一种实现形式。ZTNA专注于提供对特定应用和资源的安全访问,而ZTA则是一个更广泛的框架,涵盖了整个IT环境中的零信任原则。它提供了比传统VPN更细致的网络访问控制:
[*]细粒度访问控制: 仅授予用户访问特定应用或资源的权限,而不是整个网络。
[*]动态身份验证: 使用多因素身份验证(MFA)和持续监控来验证用户身份。
[*]加密通讯: 确保全部访问流量在传输过程中是加密的,防止数据泄露。
[*]SDP(Software Defined Perimeter)/软件定义界限:SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络界限之内。SDP的目标是通过动态生成的界限实现更加精致的访问控制和安全性。
[*]SSO、IdP、IdB:
[*]SSO (Single Sign On)/单点登录:使用统一身份登录多个服务的用户登录方式
[*]IdP (Identity Provider)/身份提供者:IdP是负责管理和验证用户身份的服务或体系。IdP通常支持多种身份验证和授权协议,如SAML(安全断言标记语言)、OAuth、OpenID Connect等,以与各种应用程序和服务集成。
[*]IdB(Identity Broker)/身份代理:用于管理和整合多个身份验证和授权体系,以提供统一的用户身份认证和访问控制。
[*]PAM(Privileged Access Management)/特权访问管理:是一种网络安全范畴的解决方案,专注于管理和监控对于体系、网络和数据等关键资源的特权访问。PAM体系旨在确保只有经过授权的用户可以访问特权账号和敏感数据,同时提供审计和监控功能,以减少滥用特权访问所带来的风险。通俗的说法就是对于那些具有特权的账号如何进利用用和管理,譬如Linux的Root账号、Windows的Administrator账号,因为特权账号对于企业里的关键数据有更高的访问权限。
[*]SWG(Secure Web Gateway)/安全Web网关:是一种网络安全解决方案,用于保护组织网络免受恶意网络流量和网络攻击的影响。安全网关位于组织的网络界限,监视和过滤进出网络的流量,以确保网络安全和数据保护。
[*]DLP(Data Loss Prevention)/数据丢失防护:DLP是指数据丢失防护(Data Loss Prevention),是一种信息安全策略和技术,旨在防止敏感数据在未经授权的情况下被访问、使用、传输或泄露。DLP解决方案通过监控和控制数据流动,保护企业和组织的机密信息和敏感数据,如客户信息、财务数据、知识产权等。
[*]EDR(Endpoint Detection and Response)/终端检测与响应:是一种专注于监控、检测和响应端点设备(如计算机、服务器、移动设备等)上的安全威胁的网络安全解决方案。EDR体系旨在提供对端点设备的可见性,帮助安全团队灵敏识别、观察和响应各种安全事件。
[*]TPA(Third Party Access)/第三方访问:是指允许外部实体(如合作伙伴、供应商、承包商、服务提供商或外部用户)访问企业内部体系、应用程序或数据的权限和策略。管理和控制第三方访问是确保网络安全和数据保护的重要方面。
[*]SASE(Secure Access Service Edge)/安全访问服务界限:是一种网络架构模型,结合了网络和安全服务,以提供统一的云原生服务。SASE由Gartner在2019年首次提出,旨在应对当代企业对灵活、安全和高效的网络访问需求。SASE通过将广域网(WAN)功能与网络安全功能整合到一个云服务框架中,为分布式企业提供同等的安全访问。
[*]UEM(Unified Endpoint Management)/统一终端管理:UEM用于管理和保护企业中的全部端点设备,包括桌面计算机、笔记本电脑、智能手机、平板电脑、物联网(IoT)设备等。UEM整合了多个设备管理技术,如移动设备管理(MDM)、移动应用管理(MAM)和传统的客户端管理工具,以提供统一的管理平台和策略。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]