构建安全新模式,零信任如何破局 ?
日前,美国总统拜登签署“改善国家网络安全行政命令”,强调了联邦政府必须果断实施零信任架构等措施以加速网络安全现代化。
伴随企业业务上云、数字化转型落地等技术变革,传统网络边界被打破造成新的安全困境。当传统安全建设的“守成者”力不从心,不受制于边界的零信任架构成为更有潜力的“破局者”。白山云基于十年安全行业经验,持续寻找新场景下的安全最优解。
传统安全防护“守成者”危机四伏
传统防护体系基于“边界”构建,默认边界以内,人、设备、系统与网络环境均可信;边界以外,均不可信。然而由于新场景层出不穷,传统网络安全架构在日益严峻的新挑战下险象环生。
内部风险:传统安全访问控制采用粗粒度授权,攻击者一旦进入内网,企业则无法应对其在内部的横向攻击;同时内部“合法用户”的威胁,也否定了基于边界区分是否“可信”的有效性。
外部风险:云计算、物联网、远程办公等技术落地,各类应用分散部署在不同公有云、私有云及本地IDC。越来越多的应用在网络边界暴露业务端口,增加了数据暴露面,被攻击风险大幅上升。
安全管理难度大、IT建设效率低:通过堆叠部署不同维度的安全产品建立的统一安全边界,其“创可贴式安全”提升了IT复杂性,导致网络管理难度加大。
为应对传统边界防护面临的风险及挑战,网络安全建设亟需新架构加持,于是强调“永不可信,始终验证”的零信任理念备受关注。
零信任理念正在成为“破局者”
作为新一代网络安全防护理念,零信任并非单一的安全技术或产品。其目标是降低资源访问过程的安全风险,防止未经授权的资源访问;核心是打破信任和网络位置的默认绑定关系。零信任将防护从依靠网络边界的“马奇诺防线”向个体保护目标收缩,把防护重心从网络转移到资源本身。
行业普遍认为零信任架构需遵循以下原则:
始终假定网络是危险的;
始终警惕存在外部和内部威胁;
仅凭网络位置,不足以决定网络信任度;
所有设备、用户和网络流量均需经过检查、身份认证和授权;
策略必须是动态的,并基于尽可能多的当前状态信息得出。
NIST在《零信任架构》中提出了零信任概念架构模型:
注:图片引用自NIST《零信任架构》
访问者访问企业资源时,需通过存在于控制平面、数据平面的策略决策点与策略执行点授予访问权限。
控制平面:策略决策点作用于控制平面,拆分为策略引擎和策略管理器;
Ø 策略引擎负责最终决定是否授予访问者对资源的访问权限;
Ø 策略管理器负责建立或切断访问者与资源的通信路径;
数据平面:策略执行点作用于数据平面,负责启动、监控、终止访问者与资源的连接。
作用于控制平面的策略引擎进行访问决策时,还需其他数据源提供输入和策略规则,包括:CDM系统、行业合规系统、威胁情报源、网络与系统行为日志、数据访问策略、公钥基础设施、身份管理系统、SIEM系统等。
白山云零信任理念实践
白山云安全团队基于对零信任的理解和深入研究,整合现有边缘云平台的安全能力,推出白山云零信任产品方案。
参考零信任架构体系,白山云零信任产品方案也从控制平面和数据平面两方面实现:
控制平面:收集各个节点的检查结果,通过策略引擎进行持续信任评估和分析决策,最终根据决策结果判断下一步访问请求的动作;
数据平面:通过在用户设备上安装的客户端对设备进行安全检查,确保设备接入的安全性;同时将流量引至白山云边缘节点,发挥边缘节点所具备的安全能力,对过往流量进行检查过滤,阻断恶意请求;另一部分访问流量则通过身份认证和权限识别后,最终访问授权应用。
基于两大平面进行五项判断,完成可信性确认与动态信任评估:
确认设备可信:基于客户端、第三方安全检查产品进行设备安全检查,确认接入设备是否可信;
确认行为可信:在边缘节点先行检查所有流量,并结合威胁情报与恶意软件分析技术,实现针对恶意请求和内容的阻断,同时将相关访问行为记录上传策略引擎持续分析,确保行为可信;
确认身份可信:结合身份管理组件,对每一个访问请求进行持续身份认证,保证授权访问应用的身份可信;
确认应用可信:授权访问应用隐藏至白山云边缘后端,实现应用完全隐身;
动态信任评估:UEBA引擎基于环境/行为/身份等信息进行持续信任评估,动态调整访问权限;
借助零信任理念,白山云帮助企业实现动态控制与授权、资产集中管控、降低IT复杂度,全面强化安全能力建设。
目前白山云已为银联商务、中集集团、万达集团、新东方、小红书等客户提供安全解决方案,服务覆盖政务、金融、制造、地产、互联网等三十余行业。未来,白山云将持续推进零信任实践,筑牢安全基础,完善跨行业、跨场景的解决方案,助力企业数字化转型。
关于白山云
白山云科技是全球领先的边缘云服务商,提供中立的基础设施、云原生安全、开发者引擎等产品及服务。结合企业数字化转型的云化需求,以及5G和IoT应用落地场景,白山云致力于为全球企业客户提供跨行业不同应用场景的解决方案。
构建安全新模式,零信任如何破局 ?相关推荐
- 巨头“围攻”之下,新氧医美能否“破局”?
巨头"围攻"之下,新氧医美的日子有点不好过. 医美互联网进入"下半场" 4个多月前,新氧成功登陆纳斯达克. 新氧的成功,为互联网医美的"电商化&quo ...
- 干货 | 新时代的 SSR 框架破局者:qwik
作者简介 19组清风,携程资深前端开发工程师,负责商旅前端公共基础平台建设,关注NodeJs.研发效能领域. 引言 今天这篇文章中和大家聊一聊号称世界上第一个 O(1) 的 JavaScript SS ...
- 中交一公局集团:提效翻倍!构建“数据共享、高效管控”的财税管理新模式
中交一公局集团是百望云的合作伙伴,财税数字化转型成果突出.因此,百望云特别邀请中交一公局集团的财务资金部资产税务处处长郝卿先生,来到百望云直播间,进行了<"数据共享与高效管控" ...
- Kubernetes 下零信任安全架构分析
作者 杨宁(麟童) 阿里云基础产品事业部高级安全专家 刘梓溪(寞白) 蚂蚁金服大安全基础安全安全专家 李婷婷(鸿杉) 蚂蚁金服大安全基础安全资深安全专家 简介 零信任安全最早由著名研究机构 Forre ...
- 美军网络安全 | 2020年底国防部将提供零信任架构
文章目录 前言 一.国防部零信任架构推进计划 二.零信任引领国防部安全架构的转型 三.理解国防部网络安全架构的演进过程 一.国防部零信任架构推进计划 1.女性中将公布国防部零信任架构年底发布计划 20 ...
- 一文读懂零信任架构的概念、现状和挑战(来自玉符科技CEO专访内容)
2020年,企业高管和CISO们的头号任务就是数据安全和隐私保护,对于拥有海量用户数据的企业来说,数据安全和隐私保护正面临三大挑战:合规.远程办公加速安全边界消失.数字化转型(上云).而零信任正是当下 ...
- 从“边界信任”到“零信任”,安全访问的“决胜局”正提前上演
"数字宇宙造成的伤害,将变成物理伤害."--"爱因斯坦-罗森桥"虫洞 对大多数人来说,对数字化变革的切身体验从未像2020年新冠疫情爆发以来这般强烈.这一年,各 ...
- NIST《零信任安全架构标准》简单解读
1.零信任(Zero Trust,缩写ZT)代表着业界正在演进的网络安全最佳实践,它将网络防御的重心从静态的网络边界转移到了用户.设备和资源上. 2.零信任安全模型假设网络上已经存在攻击者,并且企业自 ...
- 闭门研讨:新形势下,房企发展如何破局?
近日,由北京房地产业协会主办.法大大协办的"北京房地产市场形势闭门交流会"顺利举行,交流会邀请了11家房地产企业及专家到场交流分享.到场嘉宾分别从政策要求.行业现状.数字化转型创新 ...
最新文章
- getComputedStyle currentStyle 获取当前元素所有最终使用的CSS属性值
- php约瑟夫问题,php 解决约瑟夫问题实现方法
- dedecms首页如何调用专题页描述和链接
- python爬虫高考成绩
- boost::owner_equal_to相关的测试程序
- xamarin.android 控件,Android 库控件 - Xamarin | Microsoft Docs
- java 等待唤醒机制,Java线程等待唤醒机制
- laravel生成php代码,laravel代码生成器
- 作为一位75后的职场宝妈
- mac远程连接linux 服务器桌面by VNC
- 【IBM Tivoli Identity Manager 学习文档】2 部署准备知识
- 收藏!从十篇顶会论文解读计算机视觉的未来之路!
- 推荐两个适合程序员接国外私单的网站
- Sumatra PDF阅读器之 Sumatra PDF 高级设置
- TCP/IP传输层协议实现 - TCP接收窗口/发送窗口/通告窗口(lwip)
- 服务名无效。 请键入 NET HELPMSG 2185 以获得更多的帮助。
- html标签中的style=visibility:visible
- linux安装pycharm报错:Unable to detect graphics environment
- Oracle GoldenGate Monitor agent安装后的报错OGGMON-20603
- codefoces-A. Pens and Pencils