如果童話故事里的小紅帽懂“零信任”,還會被大灰狼吃掉嗎?
假設童話故事里有“零信任”,一切都將不同。首先,小紅帽在路上遇到大灰狼的時候,“零信任”會在關鍵時期,給小紅帽預警風險,同時會加固外婆的房子,如增加圍欄、鎖、防盜門等,不會讓大灰狼那么容易進入房子。其次,“零信任”可以通過各種技術手段,幫助小紅帽識破偽裝成外婆的大灰狼。
A
零信任是何許人也?
童話故事里的“零信任”是假設,在現(xiàn)實中則是站在移動互聯(lián)網(wǎng)基礎新形勢下的新安全理念。零信任將成為未來網(wǎng)絡安全的主流架構,企業(yè) IT 安全建設的必然選擇。
網(wǎng)絡安全發(fā)展幾十年,人們說到網(wǎng)絡安全,想到的是VPN、防火墻、殺毒軟件、漏洞掃描和網(wǎng)絡入侵檢測等等。而零信任到底是什么?怎么就成了網(wǎng)絡安全的熱門詞?我們以三只小豬的童話故事來解答以上問題。
大灰狼看到三只小豬,就像黑產(chǎn)看到了企業(yè)可竊取的巨大利益,大灰狼(黑產(chǎn))通過各種手段來攻破房子(企業(yè)業(yè)務系統(tǒng)),進而吃掉三只小豬(竊取利益)。三只小豬的房子堅固度,就像是企業(yè)的安全防護手段?,F(xiàn)實中,企業(yè)會在房子外面增加圍欄、門鎖、防盜門等措施加固房子,防止房子被物理破壞。而黑產(chǎn)可以通過收買“壞豬”來打開房門,還可以偽裝成“豬媽媽”進入房子。
如果三只小豬懂“零信任”,他們可以通過判斷誰是“壞豬”、識破冒牌“豬媽媽”來保護自己,防止大灰狼進入房子;當然即便大灰狼經(jīng)過很好的偽裝進入了房子,也可以通過不間斷分析監(jiān)督,在不同的風險程度時,采取不同的處置手段,若風險程度較高,便可直接驅逐來斷絕風險。
由此可以看出,零信任不是單一的產(chǎn)品、技術能夠實現(xiàn)的,企業(yè)也不可能通過單一的產(chǎn)品和技術一步到位的將原業(yè)務系統(tǒng)改為零信任架構。
市場上主流的零信任理念觀點
在介紹目前市場上主流的零信任之前,先科普下邊界概念是什么?邊界即執(zhí)行安全控制的載體。在三只小豬故事里,房子是他們的安全邊界,攻破了房子就會被吃掉。數(shù)字時代下的云計算、物聯(lián)網(wǎng)等新興技術的快速發(fā)展,企業(yè)傳統(tǒng)的以網(wǎng)絡作為邊界安全的架構正在逐漸失效,而不以邊界為信任條件,以“人”為核心的零信任安全更符合當下企業(yè)的業(yè)務安全需求。
從2004年耶利哥論壇提出去邊界化安全理念,到2010年“零信任之父”John Kindervag提出零信任網(wǎng)絡模型概念,至2020年零信任方案在多行業(yè)落地,并陸續(xù)推出零信任相關標準,零信任安全正在快速普及應用,將成為企業(yè) IT 安全建設的必然選擇。
零信任即永不信任,始終驗證。默認情況下不信任網(wǎng)絡內部和外部的任何人/設備/系統(tǒng),需要基于認證和授權重構訪問控制的信任基礎。
谷歌:讓每位谷歌員工都可以在不借助VPN的情況下通過不受信任的網(wǎng)絡順利開展工作
谷歌BeyondCorp計劃的目標是提高員工和設備訪問內部應用程序的安全性。谷歌認為傳統(tǒng)防火墻的保護效果變得不明顯,不如破除內外網(wǎng)實行統(tǒng)一,將所有應用部署在公網(wǎng)上,用戶不再需要通過VPN連接到內網(wǎng),而是通過與設備為中心的認證、授權工作流,實現(xiàn)員工任何地點對資源的訪問。Google平等對待位于外部公共網(wǎng)絡和本地網(wǎng)絡的設備,默認均不會授予任何特權,準確識別設備、用戶,移除對網(wǎng)絡的信任,實現(xiàn)基于已知設備和用戶的訪問控制,并動態(tài)更新設備和用戶信息,從而保證用戶獲得流暢的資源訪問體驗。
Gartner:取代VPN,零信任不意味邊界的消失
Gartner將零信任網(wǎng)絡訪問(ZTNA)定義為產(chǎn)品和服務,它創(chuàng)建一個基于身份和上下文的邏輯訪問邊界,包括一個用戶和一個應用或一組應用程序。Gartner分析師認為,ZTNA增強了傳統(tǒng)VPN技術應用程序訪問能力,減少員工和合作伙伴之間需要的訪問信任。安全和風險管理領導人應試點ZTNA項目,或迅速擴大遠程訪問。
微軟:致力于搭建身份作為新的安全邊界
微軟通過強調身份驅動型安全解決方案,并專注于通過強身份驗證,消除密碼、檢驗設備健康狀態(tài)以及安全訪問公司資源來保護用戶身份。
NIST:零信任(ZT)&零信任架構(ZTA)
零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定網(wǎng)絡環(huán)境已經(jīng)被攻陷的前提下,當執(zhí)行信息系統(tǒng)和服務中的每次訪問請求時,降低其決策準確度的不確定性。零信任架構(ZTA)則是一種企業(yè)網(wǎng)絡安全的規(guī)劃,它基于零信任理念,圍繞其組件關系、工作流規(guī)劃與訪問策略構建而成。
零信任安全帶來的實際社會價值
通過零信任安全體系架構的建設,以人工智能、大數(shù)據(jù)等技術與業(yè)務高度融合,能夠為企業(yè)提供多方面的實際社會價值有:
第一方面:能發(fā)現(xiàn)并解決由于身份信息泄露、冒用、盜用、特權賬號、賬號共享等等的身份欺詐風險。
第二方面:能發(fā)現(xiàn)并解決各類移動終端的安全風險,能解決網(wǎng)絡設備、服務器、wifi、vpn等等設備的二次認證,從而避免了各類型設備的欺詐風險。
第三方面:基于人工智能技術,通過連續(xù)認證實現(xiàn)動態(tài)行為監(jiān)控,通過規(guī)則引擎來實現(xiàn)動態(tài)授權,通過機器學習引擎來發(fā)現(xiàn)新的風險,從而能夠實時的發(fā)現(xiàn)并解決用戶的行為風險。
第四方面:兼容移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等等新興應用場景,為企業(yè)的新時期信息化建設或信息化數(shù)字轉型提供有效的安全保障。
需以“人”為核心實現(xiàn)零信任安全
芯盾時代認為,零信任體系的目標是建立一個不依賴于城墻和壕溝的防御體系,基于用戶身份、位置,相關業(yè)務數(shù)據(jù)、管理數(shù)據(jù)等各種信息的相互關系,場景匹配等各種微分化的情況來判斷、確定以及響應訪問的合法性。在移動互聯(lián)網(wǎng)時代,應從設備、身份和行為等維度入手,持續(xù)驗證“人”是否可信,并根據(jù)狀態(tài)進行及時處置,實現(xiàn)身份/設備管控、持續(xù)認證、動態(tài)授權、威脅發(fā)現(xiàn)與動態(tài)處理的閉環(huán)操作,保障企業(yè)業(yè)務場景的動態(tài)安全。
零信任安全是在網(wǎng)絡發(fā)展的歷程中由需求逐步產(chǎn)生的,它的出現(xiàn)重構了以身份為信任的安全防護機制,對數(shù)字時代的發(fā)展浪潮中網(wǎng)絡核心價值點-“人”進行全方位的安全防護。
原文標題:童話故事里的“零信任”
文章出處:【微信公眾號:芯盾時代】歡迎添加關注!文章轉載請注明出處。
責任編輯:haq
-
互聯(lián)網(wǎng)
+關注
關注
54文章
11015瀏覽量
102085 -
網(wǎng)絡安全
+關注
關注
10文章
3064瀏覽量
59230
原文標題:童話故事里的“零信任”
文章出處:【微信號:trusfort,微信公眾號:芯盾時代】歡迎添加關注!文章轉載請注明出處。
發(fā)布評論請先 登錄
相關推薦
評論