

搜索

news

新聞中心

未來已來，零信任安全架構時代已經到來

分類：行業(yè)動態(tài)
作者：
來源：
發(fā)布時間：2021-03-23
訪問量：2064





未來已來，零信任安全架構時代已經到來

【概要描述】

? ? ? 大數據時代，互聯網江湖復雜而險惡，網絡黑暗勢力無處不在，即便是在各大知名品牌與企業(yè)盡全力做好自身網絡防護的情況下，一些網絡犯罪份子還是在2020冠狀病毒大流行的這一年，抓住全球數億員工在家遠程辦公的機會，大肆增加對企業(yè)的網絡攻擊和勒索。讓我們來看看2020 年發(fā)生了哪些高頻數據泄露和網絡攻擊事件：

? ? ? 2020 年 2 月，雅詩蘭黛泄露 4.4 億用戶敏感信息；2020 年 3 月，5.4 億新浪微博用戶數據遭泄露；2020 年 4 月，Zoom 50 多萬用戶的登錄憑證遭黑客竊取；2020 年 5 月，泰國移動運營商泄露 83 億條用戶數據記錄；2020 年6 月，甲骨文公司泄露數 10 億條網絡數據記錄……

? ? ?

? ? ? 這些數據泄露事件令許多全球知名品牌與企業(yè)成為網絡攻擊的受害者。究其原因主要是由于傳統(tǒng)網絡安全架構默認內網是安全的，認為網絡安全就是邊界安全，因此通過在邊界部署大量的安全產品如通過防火墻、WAF、IPS、網閘等設備對網絡邊界進行層層防護，但殊不知燈下黑的道理，只知屯重兵于邊界，不重視甚至忽視企業(yè)內網的安全，像蝸牛式保護，外殼堅硬而內部柔弱，防外不防內，這樣并不能夠使用戶的網絡變得更加安全，據業(yè)界調查表明，網絡安全事件中高達80%是來源于內網，或者內外勾結。

? ? ? 除此之外，隨著信息技術不斷更新迭代，云計算、大數據等高新技術也加速發(fā)展，而傳統(tǒng)網絡的邊界則逐漸模糊，很多的數據信息操作、訪問都是由員工從外部網絡訪問的，這一點在疫情期間尤為明顯，因為疫情原因使得大部分企業(yè)員工需要在家辦公，這樣就少不了需要采用遠程辦公、線上視頻會議等方式進行工作。但當業(yè)務與信息化發(fā)展融合越緊密，其暴露的風險就越大，人員通過網絡訪問后臺應用系統(tǒng)，如果只依靠防火墻和入侵防御這些措施，只能檢測到流量內容的安全性，但對于其身份ID、操作行為卻無法鑒別，之前發(fā)生的微盟刪庫跑路事件、微博用戶數據泄露就是這些風險的代表。

? ? ? 日益復雜的網絡環(huán)境不得不對網絡安全提出了更高的要求，「零信任」這一概念則是在這一大背景下應運而生，近兩年更是成為網絡安全的熱門詞匯。

什么是零信任

? ? 「零信任」是一種安全理念，它原來是由市場研究機構Forrester在2010年左右提出，后來Gartner和Forrester由對零信任概念、應用場景、遷移方式進行了完善和補充。

? ? ? 零信任安全建立在一個簡單的、眾所周知的前提之上：不信任網絡內部和外部的任何人/設備/系統(tǒng)；不信任傳統(tǒng)網絡邊界保護，而代之以微邊界保護。

? ? ? 零信任要求將用戶的訪問權限限制為完成特定任務所需的最低限度，在組織內部重構以身份為中心的信任體系和動態(tài)訪問控制體系，建立企業(yè)全新的身份邊界，即微邊界。零信任的關鍵在于控制對數據的訪問權限，而與數據所在的位置無關，與訪問發(fā)起者的位置無關。

? ? ? 零信任的做法是先信任，后連接，只有通過動態(tài)的認證和授權，才可能發(fā)起對數據資源的訪問連接，這和傳統(tǒng)網絡安全先連接后信任的方法有主要區(qū)別。

? ? ?

零信任產生的原因

傳統(tǒng)網絡只通過物理位置的方式來判斷威脅，但隨著“云大物移”不斷融入我們的生活，這種由物理上所劃分的安全邊界將逐步瓦解。

信息化安全建設的源頭是業(yè)務訪問者，如果缺少對身份、認證、授權、審計等流程，數據泄露及破壞等事件就會層出不窮。

新技術帶來便利的同時也帶來了安全問題，信息化發(fā)展日新月異，安全措施也不能一成不變，需要持續(xù)性的優(yōu)化、改進。

? ? 因此，零信任技術成為了解決上述問題的方法。

如何實現零信任

網絡中充滿了威脅，不論是是外部還是內部，和以前對暗號那樣，在沒有充分展示可信信息之前，都是不能允許訪問資源。

對于不同的對象，展示可信信息的方式也大相徑庭。例如對于人來說，可信信息包括賬號認證、生物特征認證等；對于終端來說，可信信息包括系統(tǒng)安全性檢測、系統(tǒng)脆弱性檢測等。

風險、信任是零信任中最重要的要素，風險代表著訪問對象威脅性，信任代表著訪問對象安全性。兩者判斷方式是通過持續(xù)性的認證、檢測來實現，例如在用戶訪問信息資源時，當出現異常操作時，進行身份認證。

每個訪問者遵循最小權限原則，對應用系統(tǒng)的訪問操作需要精細化到具體操作步驟，例如請求提交、文檔修改。

? ? ? 總之，對于零信任最終實現的方式，可以參考4A，也就是賬號、認證、授權、審計這四個功能項。但零信任也不是單純的4A，而是在其基礎上新增了持續(xù)性的概念，也就是賬號全周期管理、認證、權限操作的持續(xù)性檢測。

零信任的規(guī)劃

? ? ? 就目前網絡現狀而言，很多企業(yè)無法在短期之內實現零信任安全的落地建設，究其原因主要有以下兩個方面：

系統(tǒng)工程

零信任涉及到企業(yè)全網系統(tǒng)性改造，包括網絡架構、認證方式、系統(tǒng)接口對接，這個工程量是巨大的。

開發(fā)工作

企業(yè)業(yè)務場景千變萬化，零信任不會是一套標準化的產品，需要與用戶需求相貼合，落地實施前會有大量開發(fā)工作。

? ? ? 為了更好實現零信任，我們可以將零信任建設分為幾個安全節(jié)點來分別做規(guī)劃：

傳統(tǒng)安全

零信任不是單純的新增身份認證、權限管控的產品，傳統(tǒng)安全建設也不應該忽視，例如訪問控制類（NGFW類）、業(yè)務分析類（APT檢測類）、數據加密（VPN類）、數據防泄密（DLP類）。

身份認證

不僅僅對訪問者的身份進行確認，更是對其使用的終端環(huán)境等因素進行搜集判斷。身份認證可以采用IAM等方式，終端環(huán)境判斷可以采用EDR、終端桌面管理等方式。

賬號認證

賬號不僅僅是用戶名+密碼的方式，而是通過多種因素進行判斷，也就是多因素身份驗證（MFA）?？梢酝ㄟ^堡壘機、統(tǒng)一應用管理產品來實現。

權限控制

權限是通過前面身份與賬號統(tǒng)一結合后判斷的，并且通過持續(xù)的監(jiān)測來判斷權限是否合規(guī)?？梢圆捎肬EBA等方式來實現。

審計管理

對每個環(huán)節(jié)產生的日志進行匯總、分析，綜合出使用者的信任情況，并將結果反饋給權限控制。可以通過日志審計等方式來實現。

★?結語?★

? ? ? 面對頻發(fā)的數據泄露事件和不斷上升的經濟損失，企業(yè)越來越意識到，如果僅靠現有的安全方法，并不足以應對愈趨嚴峻的安全態(tài)勢，因為在傳統(tǒng)安全架構設計中，邊界防護無法確保內部系統(tǒng)的安全性能，尤其是隨著5G、云計算等新興技術的融入，加劇了邊界模糊化、訪問路徑多樣化，造成傳統(tǒng)邊界防護無從入手。他們需要更好的東西，而零信任安全體系恰好就能給出最好的結果：風險持續(xù)預測、動態(tài)授權、最小化原則的「零信任」創(chuàng)新性安全思維契合數字基建新技術特點，借助云、網絡、安全、AI、大數據的技術發(fā)展，著力提升信息化系統(tǒng)和網絡的整體安全性，成為網絡安全保障體系升級的中流砥柱。

未來已來，零信任安全架構時代已經到來

關于云涌

? ??云涌科技是一家以嵌入式技術為背景，提供工業(yè)信息安全和工業(yè)物聯網解決方案的高新技術企業(yè)。公司2004年成立，總部位于江蘇泰州，在北京、鄭州、南京，泰州、深圳設有研發(fā)中心。2020年在上海證券交易所科創(chuàng)板成功上市（股票代碼688060）。

? ? 云涌科技擁有成熟的基于ARM、PowerPC、MIPS、龍芯、飛騰等嵌入式開發(fā)平臺，具備FPGA密碼卡設計，零信任安全架構，可信計算等核心技術。產品包括：基于可信的工業(yè)信息安全設備、加密卡及相關密碼組件、基于零信任的邊緣計算機及工業(yè)物聯網方案。在能源電力、交通物流、石油石化、智慧城市等行業(yè)，云涌科技不斷為客戶提供更好的產品和技術服務，與客戶合作共贏，聚創(chuàng)未來。