漫谈企业信息化安全 - 零信托架构

一、引言

《万物简史》的作者比尔·布来森说，当他小的时间学科学的时间，好像这些科学家们都是有一种本事，把科学总是以一种让人看不懂的方式说得神乎其神，好像有藏着什么不可告人的秘密。因此，想要写一本让大家都能看得懂的书，让大家了解世界是怎么运作的。
在信息技能范畴也是一样，我们会看到很多新的名词、各种专著名词的由于缩写，听起来是那么地高大上。实际上，我们追本溯源，就能了解事情的原形。在这一篇文章中，我们就来先容什么是零信托，为什么会有人提出零信托如许的需求，它能为我们解决什么题目，您的企业是否需要实行零信托等等基本题目。
二、零信托的精髓

创新都是需求驱动的，在信息安全上也同样如此。以前我们提到安全，很多时间只限于在电脑上安装杀毒软件，在公司网络上安装上防火墙，就基本上没有题目了，可是为什么现在信息安全题目就变得更复杂了呢？这是由于随着各种需求的涌现，让企业的IT基础架构变得越来越复杂，怎样应对与之伴生的安全威胁也变得越来越严峻，因此需要有更新的技能在解决信息安全题目。
在下图中，描述了很多现代企业信息化的一些需求：

• 移动办公/BYOD，随着移动互联网的快速发展、以及社会环境的影响，越来越来的企业面对居家办公、移动办公等混合办公模式、用户利用自带设备接入企业服务的情况，在这种情况下，如果确保移动办公、BYOD的信息安满是此中一个需求
  
• 长途办公/分支机构，这个和移动办公类似
  
• 供应商/第三方访问，为了提拔企业工作服从，企业大概需要与供应商/第三方协作，在协作过程中，怎样确保信息安全？
  
• 云服务及构建在公有云上的私有化服务，SaaS/PaaS/IaaS等以云服务形式提供的信息基础架构固然简化了企业服务的部署，但是这些服务都是部署在Internet网络上，怎样确保这些云服务访问的安全？
  
• 当地应用和构建在当地的私有化应用，这些应用怎样为各种用户提供访问，并确保安全？
  
• 身份验证，企业中要各种各样的系统和服务，也会有各种各样的身份验证，怎样对身份验证进行更行之有效的管控？
  

传统上，IT 行业依靠 外围安全计谋 来掩护其最有代价的资源，如用户数据和知识产权。 这些安全计谋涉及利用防火墙和其他基于网络的工具来检查和验证进出网络的用户。 然而，数字化转型和混合云基础结构迁移之旅正在改变各个行业开展业务的方式。 依靠网络外围已不再充足。
零信托是一种用于掩护构造的安全模型，它的理念是默认不信托任何人员或设备，即使人员或设备已经位于构造的网络内也是如此。零信托方法在整个网络中（而不但仅是在可信边界上）强制实行严格的身份验证和授权，以消除隐式信托。在此模型中，每个访问资源的哀求都被视为来自不受信托的网络，系统会对其进行检查、身份验证和核实。
说到信息安全，不管是传统的安全模型，照旧零信托安全模型，它关注的是两个核心题目：

• 数据传输过程中安全（Data at Transition)，即数据以各种方式流动过程中的安全
  
• 数据存储的安全（Data at Rest)，即数据静态存储中的安全
  

只是传统的安全模型，在新的信息架构下，已不能满意信息安全要求，因此要用新的安全模型来进一步增强信息安全。
三、零信托的范例架构

零信托并不是一个产物的名字，而是一种安全模型和理念。零信托理念最早由福布斯（Forrester）研究公司的分析师约翰·肯纳（John Kindervag）于2010年提出。
而后，美国的国家尺度与技能研究院（NIST）发布了关于零信托架构的尺度SP 800-207，在SP 800-207尺度中，零信托架构的如下：

上图中，各组件的寄义如下：
1）计谋引擎（Policy Engine）：此组件负责终极决定是否授予特定主体对资源的访问权限。
2）计谋管理员（Policy Adaministrator）：此组件负责建立和/或关闭主体与资源之间的通讯路径（通过向相干的计谋实行点（PEP）发送指令）。
3）计谋实行点（Policy Enforcement Point）：此系统负责启用、监控并终极终止主体与企业资源之间的毗连。PEP与计谋管理员（PA）进行通讯，以转发哀求和/或吸收来自PA的计谋更新。
4）持续诊断与缓解（CDM）系统：该系统收集有关企业资产当前状态的信息，并对配置和软件组件应用更新。
5）行业合规系统：此系统确保企业服从其所实用的任何羁系制度（例如，FISMA、医疗或金融行业的信息安全要求）。
6）威胁情报馈送：此系统提供来自内部或外部来源的信息，资助计谋引擎做出访问决议。
7）网络和系统活动日志：该企业系统汇总资产日志、网络流量、资源访问操作以及其他变乱，提供有关企业信息系统安全状况的实时（或靠近实时）反馈。
8）数据访问计谋：这些是关于访问企业资源的属性、规则和政策。
9）企业公钥基础设施（PKI）：该系统负责天生并记录企业颁发给资源、主体、服务和应用步调的证书。
10）身份管理系统：负责创建、存储和管理企业用户账户和身份记录（例如，轻量级目次访问协议（LDAP）服务器）。
11）安全信息与变乱管理（SIEM）系统：负责收集安全相干的信息以供后续分析。
四、零信托能资助用户解决的题目

零信托是一种理念，在实行零信托安全架构时，可以从下面的一些关键原则入手：

• 不信托： 不信托内部或外部网络，将所有用户、设备和应用步调视为潜在的威胁，需要进行适当的验证和授权才能访问资源。
  
• 严格访问控制： 接纳最小特权原则，对资源的访问权限进行正确控制，只授权用户访问其所需的资源和服务。
  
• 持续身份验证： 不但在用户登录时进行身份验证，还需要在用户会话期间持续监控和验证其身份、设备状态和行为。
  
• 全面可见性： 实现对网络、用户和数据活动的全面可见性，以及对安全变乱和威胁的实时检测、相应和观察。
  
• 零信托架构： 通过构建多条理的安全防御和控制来实现零信托计谋，包括网络分割、加密、多因素身份验证等技能本领。
  

这些原则共同构成了零信托安全模型的基础，旨在进步网络安全性并降低潜在的安全风险。
通过实行零信托安全架构，可以资助用户解决如下的一些题目：

• 进步数据安全性： 通过严格的访问控制和持续身份验证，防止未经授权的用户或设备访问敏感数据，从而进步数据安全性。
  
• 淘汰内部和外部威胁： 不信托网络内的任何用户或设备，即使是已经通过认证的用户，也需要经过持续的身份验证和访问控制，从而降低内部和外部威胁的风险。
  
• 进步网络可见性： 通过实时监控和记录用户和设备的活动，实现对网络活动的全面可见性，实时发现和应对潜在的安全威胁。
  
• 简化安全管理： 零信托安全架构将安全计谋集中在用户和资源的访问控制上，简化了安全管理和计谋实行，降低了管理成本和复杂性。
  
• 增强合规性： 通过严格的访问控制和持续身份验证，确保企业网络符合法规和行业尺度的安全要求，进步了合规性。
  
• 增强移动和长途工作安全性： 零信托安全架构不依靠于传统的边界防御，使得长途用户和移动设备也可以或许获得与当地用户相同的安全掩护，增强了移动和长途工作的安全性。
  

五、你需要零信托相干的产物吗？

我们先来看看谁不需要零信托产物，大概说不值得实行零信托相干产物，而可以改用其他替换方案的场景：

• 小型构造或个人用户： 对于规模较小的构造或个人用户来说，大概没有充足的资源或需要来实行复杂的零信托安全框架，因此大概会选择更简单、成本更低的安全解决方案。
  
• 特定场景下的低风险环境： 对于一些低风险的特定场景，如非敏感性数据的公共信息网站、暂时性项目等，大概不需要投入大量资源来实行零信托安全计谋。
  
• 传统网络边界仍然有效的环境： 如果某些构造的传统网络边界安全措施已经充足有效，可以或许有效防御内部和外部威胁，那么大概不需要立即转向零信托模型。
  
• 暂时性或短期项目： 对于一些暂时性或短期性的项目，大概不值得为其实行复杂的零信托安全框架，而是可以采取一些简单、快速的安全措施来满意项目的安全需求。
  
• 不涉及敏感数据的环境： 对于一些不涉及敏感数据的环境，如公共信息网站、演示系统等，大概不需要采取严格的零信托安全措施。
  

除开这些不需要转向零信托方案的场景，其他场景是建议考虑逐步转向零信托方案，分步调实行零信托模型中的关键特性，终极让企业的信息安万可以或许上升到一个新的台阶。
六、相干的一些名词解释

在讨论零信托话题时，其实会常常出现一些名词，这些名词和零信托都或多或少有关联，在此，对这些名词及其寄义做一些罗列：

• ZTNA（Zero Trust Network Access）/零信托网络访问： 相比于零信托架构（ZTA）是一种安全架构而言，零信托网络访问（ZTNA）是一种详细的安全解决方案，即它是详细的一种产物，ZTNA基于严格的身份验证和持续的安全评估，不依靠传统的网络边界。ZTNA可以被看作是ZTA的一部分或一种实现形式。ZTNA专注于提供对特定应用和资源的安全访问，而ZTA则是一个更广泛的框架，涵盖了整个IT环境中的零信托原则。它提供了比传统VPN更过细的网络访问控制：
  
  
  
  • 细粒度访问控制： 仅授予用户访问特定应用或资源的权限，而不是整个网络。
    
  • 动态身份验证： 利用多因素身份验证（MFA）和持续监控来验证用户身份。
    
  • 加密通讯： 确保所有访问流量在传输过程中是加密的，防止数据泄露。
    
  
  
• SDP（Software Defined Perimeter）/软件界说边界：SDP是一种网络安全框架，旨在提供安全、隐私和访问控制，通过创建一种透明的、动态的毗连模型，将用户和设备与应用步调之间的毗连限定在一个隐形的、不可见的网络边界之内。SDP的目的是通过动态天生的边界实现更加精致的访问控制和安全性。
  
• SSO、IdP、IdB:
  
  
  
  • SSO (Single Sign On）/单点登录：利用同一身份登录多个服务的用户登录方式
    
  • IdP (Identity Provider）/身份提供者：IdP是负责管理和验证用户身份的服务或系统。IdP通常支持多种身份验证和授权协议，如SAML（安全断言标志语言）、OAuth、OpenID Connect等，以与各种应用步调和服务集成。
    
  • IdB（Identity Broker）/身份署理：用于管理和整合多个身份验证和授权系统，以提供同一的用户身份认证和访问控制。
    
  
  
• PAM（Privileged Access Management）/特权访问管理：是一种网络安全范畴的解决方案，专注于管理和监控对于系统、网络和数据等关键资源的特权访问。PAM系统旨在确保只有经过授权的用户可以访问特权账号和敏感数据，同时提供审计和监控功能，以淘汰滥用特权访问所带来的风险。通俗的说法就是对于那些具有特权的账号怎样进行利用和管理，譬如Linux的Root账号、Windows的Administrator账号，由于特权账号对于企业里的关键数据有更高的访问权限。
  
• SWG（Secure Web Gateway）/安全Web网关：是一种网络安全解决方案，用于掩护构造网络免受恶意网络流量和网络攻击的影响。安全网关位于构造的网络边界，监督和过滤进出网络的流量，以确保网络安全和数据掩护。
  
• DLP（Data Loss Prevention）/数据丢失防护：DLP是指数据丢失防护（Data Loss Prevention），是一种信息安全计谋和技能，旨在防止敏感数据在未经授权的情况下被访问、利用、传输或泄露。DLP解决方案通过监控和控制数据流动，掩护企业和构造的机密信息和敏感数据，如客户信息、财务数据、知识产权等。
  
• EDR（Endpoint Detection and Response）/终端检测与相应：是一种专注于监控、检测和相应端点设备（如计算机、服务器、移动设备等）上的安全威胁的网络安全解决方案。EDR系统旨在提供对端点设备的可见性，资助安全团队迅速辨认、观察和相应各种安全变乱。
  
• TPA（Third Party Access）/第三方访问：是指允许外部实体（如互助伙伴、供应商、承包商、服务提供商或外部用户）访问企业内部系统、应用步调或数据的权限和计谋。管理和控制第三方访问是确保网络安全和数据掩护的紧张方面。
  
• SASE（Secure Access Service Edge）/安全访问服务边界：是一种网络架构模型，结合了网络和安全服务，以提供同一的云原生服务。SASE由Gartner在2019年首次提出，旨在应对现代企业对机动、安全和高效的网络访问需求。SASE通过将广域网（WAN）功能与网络安全功能整合到一个云服务框架中，为分布式企业提供一致的安全访问。
  
• UEM（Unified Endpoint Management）/同一终端管理：UEM用于管理和掩护企业中的所有端点设备，包括桌面计算机、条记本电脑、智能手机、平板电脑、物联网（IoT）设备等。UEM整合了多个设备管理技能，如移动设备管理（MDM）、移动应用管理（MAM）和传统的客户端管理工具，以提供同一的管理平台和计谋。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。