⑴ 零信任,未來網路安全體系的「骨架」
企業實現零信任網路能夠獲得什麼效果?實施零信任網路使得企業網路安全水平提升、合規審計能力提升、生產效率提升,其可作為網路安全體系的「骨架」連接其他安全技術,筆者認為零信任網路是更符合發展潮流的IT設施建設方案。
零信任網路實現了身份、設備、應用的動態信任評估體系,並通過信任評估進行作用於資源訪問路徑上持續的訪問控制。零信任技術使得網路平台具備層次化的、一致的、持續的訪問控制能力。
在邊界防護體系中,安全產品堆砌在網路邊界,意圖建立起一道防線阻隔網路攻擊,內網則成為信任區,內網的東西向流量缺少最基礎的訪問控制能力。這種體系下內網計算機失陷後,攻擊者能夠利用設備固有的信任和已授予用戶的信任來進一步橫向移動、訪問資源。
零信任網路則以資源保護為核心訴求規劃防護體系,通過在所有資源訪問路徑上建立訪問控制點,收斂了資源暴露面,綜合資源訪問過程中包括身份、設備、環境、時間在內的所有網路空間因素對訪問行為進行可信度判斷,以此為依據從網路可見性、資源可見性、資源訪問許可權三個層級進行訪問控制。
典型的企業IT系統建設呈現煙囪式,各個系統相互獨立,企業成員需要在每個系統上建立賬號,弱密碼、各系統用同一個密碼、密碼長期不更改等問題無法根除。當人員流動、人員職責變更時賬號身份管理出現疏漏難以避免,導致人員許可權膨脹,遺留大量僵屍賬號等問題。在面對網路攻擊時,這些失控身份將成為攻擊者滲透企業的切入點,獲取資源的入口。企業可以通過建設IAM系統,對身份統一管理,建立多因子、SSO認證,緩解身份失控風險,強化認證強度和可信度。然而IAM系統是基於應用層進行訪問控制,無法防護對操作系統、中間件等的攻擊。
零信任網路在圍繞資源建立了訪問控制點後,進一步實現以身份為中心訪問控制策略。工程實踐上,零信任架構能夠與IAM系統對接,集成現有身份和訪問管理能力,實質上擴展了IMA的作用邊界,將其對應用層的保護延伸到網路接入層。
企業的辦公環境正變得越來越復雜,員工需要能使用公司配發資產、個人自帶設備或者移動設備訪問企業資產,這對企業網路安全帶來巨大挑戰。企業IT和安全人員需要面對設備黑洞,有多少員工自帶辦公設備、哪個設備現在是誰在用、某個IP是誰的什麼設備,當應急響應事件發生時如何快速定位到誰的設備出現異常。EPP、EDR、CWPP等主機防護安全產品能夠對設備資產進行管理,但是缺少將設備資產與企業數字身份關聯的能力。
零信任網路為所有設備建立標識,關聯設備與使用者身份,將設備狀態作為訪問控制策略的關鍵因素,納入信任度評價體系,不同設備類型、不同設備狀態計算出不同信任度,不同信任度設定合理的資源訪問許可權。在實踐中,設備管理可以採用靈活的解決方案,例如對公司設備資產頒發專用數字證書賦予唯一身份認證,員工自帶設備則安裝客戶端軟體進行基線檢測。
零信任體系能夠與傳統安全產品集成,或者直接使用傳統安全產品實現。以NIST抽象的零信任架構為例:策略決策點可與IAM系統對接實現身份信息的獲取和認證授權,持續評估可結合UEBA、SOC、SIEM等系統實現,設備資產的標識和保護可以使用EDR類產品,設備資產可以安裝DLP類產品實現端到端的資源保護。
滿足等保2.0的解決方案
等保2.0完善了我國網路安全建設標准,其提出的一個中心三重防護思想與零信任思想高度契合。在CSA發布的《SDP實現等保2.0合規技術指南白皮書》中,CSA中國區專家梳理了SDP與等保技術要求點的適用情況,零信任技術在等保2.0技術要求的網路架構、通信傳輸、邊界安全、訪問控制、安全審計、身份鑒別等要求項上均有良好適用性。
企業將信息系統、資源部署在私有或者雲數據中心,員工通過辦公場所的有線固網、企業專有WIFI等方式接入網路獲取工作所需資源。外出員工、企業分支機構、合作夥伴則通過VPN與數據中心建立連接,進行日常辦公和信息交互。用戶使用不同工具對資源進行訪問。
在零信任網路下,無論員工在辦公場所、機場、高鐵,無論資源在私有數據中心還是公有雲上,其都能通過零信任網路提供的「身份、設備、應用」信任鏈訪問有權訪問的資源。
隨著企業數據中心和分支機構增多,異地數據中心繁多,核心應用上雲,大量應用第三方SaaS,其辦公環境愈發復雜,員工一項工作需要多種資源,所需資源分布在不同物理設施,工作時常要登錄多個系統,來回切換不同的VPN。
零信任網路通過統一的認證管理,使得員工一次登錄即可獲得應有的應用訪問許可權,同時使用部署在不同位置的應用,極大改善了工作效率和工作體驗。
⑵ 零信任概念是什麼
零信任代表了新一代的網路安全防護理念,它的關鍵在於打破默認的「信任」,用一句通俗的話來概括,就是「持續驗證,永不信任」。默認不信任企業網路內外的任何人、設備和系統,基於身份認證和授權重新構建訪問控制的信任基礎,從而確保身份可信、設備可信、應用可信和鏈路可信。
發展背景:傳統的網路安全是基於防火牆的物理邊界防禦,也就是為大眾所熟知的「內網」。防火牆的概念起源於上世紀80年代,該防禦模型前提假設是企業所有的辦公設備和數據資源都在內網,並且內網是完全可信的。
然而,隨著雲計算、大數據、物聯網等新興技術的不斷興起,企業IT架構正在從「有邊界」向「無邊界」轉變,傳統的安全邊界逐漸瓦解。隨著以5G、工業互聯網為代表的新基建的不斷推進,還會進一步加速「無邊界」的進化過程。與此同時,零信任安全逐漸進入人們的視野,成為解決新時代網路安全問題的新理念、新架構。
⑶ 零信任這個概念是在什麼樣的背景下提出來的如何理解零信任這一概念
零信任概念的背景是:
企業應用上雲的增加,網路環境日趨復雜,企業人員流動頻繁,傳統防火牆機制在面對外部用戶裸奔訪問公有雲服務等潛在危險時顯得無力應對,網路環境中的用戶、設備、應用及IT資源之間的連接被暴漏在高風險環境中。基於這些因素,零信任的概念逐漸出來,並被大家接受。
零信任是提倡身份為邊界作為許可權管控的基礎,進一步講,就是零信任認為企業不應該自動信任內部或者外部的任何人、事、物,應在授權前通過動態和持續的身份認證和評估機制,對網路環境中的訪問主體人和設備的危險等級進行科學准確判斷,採用最小特權訪問策略,嚴格執行訪問控制,提升所有網路實體連接之間的可信關系,增加企業安全保障。
比如玉符科技IDaas平台可以實現對應用的集中集成,實現對人員信息的集中管控在登錄上支持MFA等安全策略,可以了解一下。
⑷ 零信任網路安全
近年來,國內信息與通信技術(ICT)發展迅速,各企業將新技術應用於商業環境,推動了其數字化應用與發展。與此同時,也出現了許多信息安全方面的問題,如用戶信息泄露和盜用、病毒引起的數據丟失、外部攻擊導致的業務停頓等,對企業和社會的發展產生了極大影響。確保企業日益復雜的IT系統能夠長期、安全、可靠運轉成為眾多企業IT決策者面臨的巨大挑戰。另外,隨著以《中華人民共和國網路安全法》頒布為標志的一系列法律法規及各類標準的推出,網路安全上升為重要國家戰略。網路安全不僅是企業內部的問題,還是企業合法合規開展業務的重要內容。
隨著雲計算、大數據、移動互聯網、物聯網(IoT)、第五代移動通信(5G)等新技術的崛起,傳統的網路安全架構難以適應時代發展需求,一場網路安全架構的技術革命正在悄然發生,其受到越來越多企業IT決策者的認可。
在傳統安全理念中,企業的伺服器和終端辦公設備主要運行在內部網路中,因此,企業的網路安全主要圍繞網路的「牆」建設,即基於邊界防護。然而,物理安全邊界有天然的局限性。隨著雲計算、大數據、移動互聯網、物聯網等技術的融入,企業不可能將數據局限在自己的內部網路中。例如,企業要上雲,就不能將公有雲裝入自己的防火牆;企業要發展移動辦公、物聯網,防火牆卻無法覆蓋外部各角落;企業要擁抱大數含森據,就不可避免地要與合作夥伴進行數據交換。因此,傳統安全邊界模型在發展新技術的趨勢下逐漸瓦解,在萬物互聯的新時代成為企業發展的障礙,企業需要建立新的網路安全模型。
在這樣的時代背景下,基於零信任理念的新一代網路安全架構應運而生。它打破了傳統安全邊界,不再默認企業物理邊界內的安全性,不再基於用戶與設備在網路中的位置判斷是否可信,而是始終驗證用戶的身份、設備的合法性及許可權,即遵循「永不信任,始終校驗(Never Trust,Always Verify)」的零信任理念。在零信任理念下,網路位置變得不再重要,其完全通過軟體來定義企業的安全邊界,「數據在哪裡,安全就到哪裡」。SDP依託自身優勢成為解決新時代諸多安全問題的最佳選項,其安全性和易用性也通過大量企業的實踐得到了驗證。為了推進SDP技術在中國的落地,CSA(大中華區)於2019年成立SDP工作組。
本書基於SDP工作組的若干成果,對分散在不同文獻中的理論與概念進行匯總和整理,自上而下地對SDP的完整架構進行詳細介紹,並結合大量實踐案例,為讀者提供完整的軟體定義邊界技術架構指南。
(1)企業信息安全決策者。本書為企業信息安全決策者設計基於SDP的企業信息安全戰略提供完整的技術指導和案例參考。
(2)信息安全、企業架構或安全合規領域的專業人員。本書將指導他們對SDP解決方案進行評估、設計、部署和運營。
(3)解決方案供應商、服務供應商和技術供應商將從本書提供的信息中獲益。
(4)安全領域的研究人員。
(5)對SDP有興趣並有志從事安全領域工作的人。
第1章對SDP的基本概念、主要功能等進行介紹。
第2章對SDP架構、工作原理、連接過程、訪問控制及部署模式等進行介紹。
第3章對SDP架構的具體協議及日誌進行介紹。
第4章對SDP架構部署模式及其適用場景進行介紹,為企業部署SDP架構做技術准談叢畝備。
第5章對企業部署SDP需要考慮的問題、SDP與企業信息安全要素集成及SDP的應用領域進行介紹。
第6章對技術原理和IaaS使用場景進行分析與介紹,指導企業安全上雲。
第7章通過展示SDP對DDoS攻擊的防禦機制,加強讀者對SDP的認識和理解。
第8章介紹SDP對等保2.0各級要求的適用情況。通過對等保2.0的深入解讀,展示如何通過SDP滿足企業的等保2.0合規要求。
第9章對SDP戰略規劃與部署遷移方法進行介紹,在戰略規劃和部署遷移層面為企業提供指導。
第10章對NIST、Google、微軟及Forrester的零信任架構與實現進行介紹。
第11章精鄭孫選了國內主要的SDP和零信任實踐案例,對其進行介紹。
(1)本書主要基於公有雲的IaaS產品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相關用例和方法同樣適用於私有化部署的IaaS,如基於VMware或OpenStack的私有雲等。
(2)按照SDP規范實現商業化的廠商與沒有嚴格按照SDP規范進行產品開發的廠商,在構建產品的過程中,有不同架構、方法和能力。本書對廠商保持中立並避免涉及與頭部廠商相關的能力。如果有因為廠商能力產生的差異化案例,本書盡量使用「也許、典型的、通常」等詞語來解釋這些差異,避免減弱本書的可讀性。
(3)高可用性和負載均衡不在本書的討論范圍內。
(4)SDP策略模型不在本書的討論范圍內。本書討論的SDP用例和方法也適用於平台即服務(PaaS)。
(5)下列內容為引用文字。
零信任網路又稱軟體定義邊界(SDP),是圍繞某個應用或某組應用創建的基於身份和上下文的邏輯訪問邊界。應用是隱藏的,無法被發現,並且通過信任代理限制一組指定實體訪問。在允許訪問前,代理會驗證指定訪問者的身份、上下文和策略合規性。該機制將應用資源從公共視野中消除,從而顯著縮小可攻擊面。
(6)下列內容為數據包格式。
IP TCP AID(32位) 密碼(32位) 計數器(64位)
(7)標題帶有「JSON規范格式」字樣的方框中的內容為JSON文件的標准格式。
JSON規范格式
{
「sid」: <256-bit IH Session ID>,
「seed」:<32-bit SPA seed>,
「counter」: <32-bit SPA counter>
[
「id」:<32-bit Service ID>
]
}
⑸ 網路安全行業專題報告:零信任,三大核心組件,六大要素分析
獲取報告請登錄【未來智庫】。
1.1 零信任架構的興起與發展
零信任架構是 一種端到端的企業資源和數據安全 方法,包括身份( 人和 非 人的實體)、憑證、訪問管理理、操 作、端點、宿主環境和互聯基礎設施。
• 零信任體系架構是零信任不不是「不不信任」的意思,它更更像是「默認不不信任」,即「從零開始構建信任」的思想。 零信任安全體系是圍繞「身份」構建,基於許可權最 小化原則進 行行設計,根據訪問的 風險等級進 行行動態身份 認證和授權。
1.2 零信任架構的三大核心組件
1.3 零信任的六大實現要素——身份認證
2.1 零信任安全解決方案主要包括四個模塊
2.2 零信任的主要部署場景
2.3 零信任將會對部分安全產品帶來增量效應
2.4 零信任將會成為安全行業未來的重要發展方向
零信任抓住了了 目前 網路安全 用戶的痛點, 零信任是未來 網路安全技術的重要發展 方 向。根據Cybersecurity的調查, 目前 網路 安全的最 大的挑戰是私有應 用程序的訪問 端 口 十分分散,以及內部 用戶的許可權過多。 62%的企業認為保護遍布在各個數據中 心 和雲上的端 口是 目前最 大的挑戰,並且 61%的企業最擔 心的是內部 用戶被給予的 許可權過多的問題。這兩點正是零信任專注 解決的問題,現在有78%的 網路安全團隊 在嘗試采 用零信任架構。
3、投資建議
企業業務復雜度增加、信息安全防護壓 力力增 大,催 生零信任架構。
企業上雲、數字化轉型加速、 網路基 礎設施增多導致訪問資源的 用戶/設備數量量快速增 長, 網路邊界的概念逐漸模糊; 用戶的訪問請求更更加復 雜,造成企業對 用戶過分授權;攻擊 手段愈加復雜以及暴暴露露 面和攻擊 面不不斷增 長,導致企業安全防護壓 力力加 大。 面對這些新的變化,傳統的基於邊界構建、通過 網路位置進 行行信任域劃分的安全防護模式已經 不不能滿 足企業要求。零信任架構通過對 用戶和設備的身份、許可權、環境進 行行動態評估並進 行行最 小授權, 能夠 比傳統架構更更好地滿 足企業在遠程辦公、多雲、多分 支機構、跨企業協同場景中的安全需求。
零信任架構涉及多個產品組件,對國內 網安 行行業形成增量量需求。
零信任的實踐需要各類安全產品組合, 將對相關產品形成增量量需求:1)IAM/IDaaS等統 一身份認證與許可權管理理系統/服務,實現對 用戶/終端的 身份管理理;2)安全 網關: 目前基於SDP的安全 網關是 一種新興技術 方向,但由於實現全應 用協議加密流 量量代理理仍有較 大難度,也可以基於現有的NGFW、WAF、VPN產品進 行行技術升級改造;3)態勢感知、 SOC、TIP等安全平台類產品是零信任的 大腦,幫助實時對企業資產狀態、威脅情報數據等進 行行監測;4)EDR、雲桌 面管理理等終端安全產品的配合,實現將零信任架構拓拓展到終端和 用戶;5) 日誌審計:匯聚各 數據源 日誌,並進 行行審計,為策略略引擎提供數據。此外,可信API代理理等其他產品也在其中發揮重要 支撐 作 用。
零信任的實踐將推動安全 行行業實現商業模式轉型,進 一步提 高 廠商集中度。
目前國內 網安產業已經經過 多年年核 心技術的積累,進 入以產品形態、解決 方案和服務模式創新的新階段。零信任不不是 一種產品, 而 是 一種全新的安全技術框架,通過重塑安全架構幫助企業進 一步提升防護能 力力。基於以太 網的傳統架構 下安全設備的交互相對較少,並且能夠通過標準的協議進 行行互聯,因 而導致硬體端的采購 非常分散,但 零信任的實踐需要安全設備之間相互聯動、實現多雲環境下的數據共享,加速推動安全 行行業從堆砌安全 硬體向提供解決 方案/服務發展,同時對客戶形成強粘性。我們認為研發能 力力強、產品線種類 齊全的 廠商 在其中的優勢會越發明顯。
由於中美安全市場客戶結構不不同以及企業上公有雲速度差異,美國零信任SaaS公司的成功之路路在國內還 缺乏復制基礎。
美國 網路安全需求 大頭來 自於企業級客戶,這些企業級客戶對公有雲的接受程度 高,過 去 幾年年上雲趨勢明顯。根據Okta發布的《2019 工作報告》,Okta客戶平均擁有83個雲應 用,其中9%的 客戶擁有200多個雲應 用。這種多雲時代下企業級 用戶統 一身份認證管理理難度 大、企業內外 網邊界極為 模糊的環境,是Okta零信任SaaS商業模式得以發展的核 心原因。 目前國內 網路安全市場需求主要集中於 政府、 行行業( 金金融、運營商、能源等),這些客戶 目前上雲主要以私有雲為主, 網安產品的部署模式仍 未進 入SaaS化階段。但隨著未來我國公有雲滲透率的提升,以及 網安向企業客戶市場擴張,零信任相關 的SaaS業務將會迎來成 長機會。
投資建議:
零信任架構的部署模式有望提升國內 網安市場集中度,將進 一步推動研發能 力力強、擁有全線 安全產品的頭部 廠商擴 大市場份額、增加 用戶粘性,重點推薦啟明星 辰辰、綠盟 科技 、深信服、南洋股份, 關注科創新星奇安信、安恆信息。
(報告觀點屬於原作者,僅供參考。作者:招商證券,劉 萍、范昳蕊)
如需完整報告請登錄【未來智庫】。
⑹ 什麼是零信任如何構建零信任
零信任代表的是新一代的網路安全防護理念,目前,很多企業都在零信任的基礎上,構建一個全新的安全體系,助力企業更好的完成數字化轉型。構建零信任架構最好找專業的服務商,白山雲科技實力比較強,它是國內創新的獨立邊緣雲服務提供商,白山邊緣雲平台基於 SASE 與零信任理念,構建「網路+安全+計算」的一體化產品與服務。早前,白山雲科技已經入圍 CSA雲安全聯盟《2021零信任落地案例集》,有不少成功案例都值得參考∞