零信任时代,企业如何提升自身安全?
零信任最早由Forrester 分析师John Kindervag于2010年提出,它既不是一项技术,也不是一款产品,而是一种新理念,基本原则是“从不信任,总是验证”。
零信任是一种安全模型,基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。
零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。
零信任很重要的原因
随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着传统的访问管控方式过于单一、业务上云后各种数据的集中部署使得数据滥用风险变大等前所未有的挑战。
Forrester提出,所有人与设备之间产生的连接,以及发生在不同环境中的工作负载实际上都是为了在更大范围上获得数据。
因此零信任安全架构(扩展生态系统)本质上就是要保护人、设备、网络联接、工作负载以及数据这五个核心要素。
零信任还有三个核心的原则:
企业基于最小访问权限、监视日志记录、访问皆需验证三个核心原则构建自己的零信任网络。
1、最小访问权限
指每个用户只能访问其工作所需的访问权限。
通过限制每个用户的访问权限,可以有效防止黑客进入内部后的横向攻击。
这种精细的授权策略一般来说是由数据所有者来管理权限,并定期审核访问权限和成员身份。
2、监视日志记录
监视和日志记录可以说是零信任安全模型最重要的功能。
在系统的监视下,网络中的每一个活动都被记录在案,并且经过可视化安全分析,可以有效辨别出哪些是异常账户,勒索软件和恶意操作都清清楚楚地展示在你的眼皮底下。
3、访问皆需验证
用户每次访问共享文件、应用程序或云存储设备时,都要验证该用户对相关资源的访问。因为在零信任架构中,用户的每个网络活动都是潜在的威胁。
要实现这种模式,需要:远程身份验证、访问协议、外围安全和网络访问控件。
零信任的发展趋势
2019年,在工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术。
中国信息通信研究院发布的《中国网络安全产业白皮书(2019 年)》,也首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。
围绕“零信任安全”话题,21世纪经济报道记者采访了多位业内专家,他们均表示,零信任安全强调的永不信任和始终验证,是一个具有颠覆性的安全理念,它已经成为网络安全领域非常确定的一个趋势性方向。
未来,也会有越来越多的企业逐步采用零信任安全架构。
零信任时代如何控制安全?
常见的终端数据防泄密技术包括:DLP、云桌面、终端数据隔离(终端沙箱)、远程浏览器隔离(RBI)等等。
一个完整的零信任解决方案应该包括终端数据安全,将数据防泄密技术融入零信任架构,根据零信任的细粒度安全策略,执行敏感数据的访问控制。
从云端到浏览器端,都有一种机制,这种机制就是:安全沙箱。
安全沙箱属于浏览器架构层面的安全防护,有了安全沙箱的存在,可以尽可能降低攻击带来的伤害程度。
沙箱技术有很多种类,是否能称之为“安全沙箱”,则视乎其隔离的程度和自身的技术目的。
例如能模拟出一整台服务器或者桌面电脑的虚拟机,应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏,并不能影响宿主的安全稳定运行。
你也可以把这个虚拟机一键删除,不管里面安装了什么东西。
例如浏览器里面的实现,是最为普通用户所能感知的安全沙箱。
它把远程加载的、来自不同网站的页面进行隔离,并且在运行这些包含大量不知名开源技术的代码时,还需要防范XSS攻击,保护宿主环境(让用户免受隐私泄漏、数据被盗、遭遇钓鱼诈骗、感染病毒等风险)。
一种企业灵活再开发和使用的沙箱技术
小程序化”、“安全沙箱化”被认为是其中一个基石。
逻辑如下:
- 企业的一切业务内容,表现方式就是软件化代码化。企业的数字内容资产,就是软件
- 随需随用、用完即走的“轻应用”软件形态,最符合上述要求。其中“小程序”又是轻应用类型技术中最有广泛基础、最贴近Web因此最有生命力的技术。
- 传统企业之间的资源交换与整合,它的数字化形态就是交换自己的“数字内容资产”,也就是我的平台让你的软件放进来跑一跑服务我的客户,我的软件投放到你的环境里触达一下你的客户。“你中有我,我中有你”,可是我们俩彼此在技术层面没有任何信任基础,只认技术安全,“零信任”。所以你的代码我只能放在沙箱里跑,我投放到你那边的代码,也用沙箱隔离着你的环境
- 用户甚至不再需要去主动意识到“软件”这个概念的强存在,代码都是自动下载、看到就用到的,不再有传统观念下的安装、升级,一切都是透明的
类似于 FinClip小程序容器技术,是一种云端可控的设备端(包括IoT)安全沙箱技术,它以可分发、可流通的小程序代码格式为软件形态,充当下一代企业应用软件的技术底座。
作为Web前端技术的“超集”,基于令牌(non-forgeable token)的安全模型,和当前“零信任架构”下的其他基础技术在最贴近用户、应用的地方能建立良好的配合。
不过还想说一句,零信任安全已是趋势,但它更像是一个终极目标。
在未来很长一段时间内,零信任安全和传统安全会是一直并存的状态。
零信任时代,企业如何提升自身安全?相关推荐
- 「C位观察」零信任:企业分布式安全管理架构 | C位
欢迎来到「C位」,它是CMC资本团队全新打造的与创业圈.科技产业.学术界分享交流的频道.通过这个窗口,我们关注和记录在当下发生的诸如企业数字化.产业智能化.业务自动化.无人驾驶与智能车.新能源技术.元 ...
- 如何打造零信任时代的身份管理系统?
疫情期间,我们骤然发现自己添了很多"身份证明":小区出入证,公司大厦出入证,健康宝无异常证明,运营商的 14 日出行轨迹证明--个人日常生活不再笼统,而是分裂成无数场景,在不同场景 ...
- 零信任风口来了,新一代企业安全架构革新势在必行
信息技术的快速发展,云计算.大数据.人工智能.物联网等新兴技术的落地,在带来机遇的同时,也为信息安全带来了新的挑战.在企业上云的过程中,原有传统安全架构的"边界"思维正在被打破.外 ...
- 零信任的过去、现在和未来
往期博客已经介绍了有关零信任安全框架的基本概念和相关应用,本期将从行业的角度介绍零信任的由来.现状和未来展望. 1. 前零信任时代 过去十年,信息安全行业经历了三大趋势:移动化.上云和软件即服务(Sa ...
- 持安科技CEO何艺:零信任在实战攻防演练中的价值
当我们7.8月份在安全圈聊的火热时,我们可能在聊什么?面对这逐渐升温的国家级大事件,零信任如何应对? 2022年7月8日,持安科技创始人&CEO何艺受邀参加网络安全行业门户FreeBuf举办的 ...
- 持安零信任入选数说安全《零信任安全产品研究报告》
近日,网络安全产业研究机构"数说安全",对业内最受关注和认可的零信任安全厂商发起调研,发布<零信任安全产品研究报告>. 持安科技作为国内最早落地零信任的安全厂商,深度参 ...
- 零信任到底是啥?三堂课带你看懂他!
零信任在2021年仍然热度不减,全球安全厂商不断加码,尽管在实践应用上已取得一定成效,但很多企业对零信任理念的了解并不深入.为了进一步厘清零信任的内涵与外延,腾讯安全『产业安全公开课』将在4月27-2 ...
- Kubernetes 下零信任安全架构分析
作者 杨宁(麟童) 阿里云基础产品事业部高级安全专家 刘梓溪(寞白) 蚂蚁金服大安全基础安全安全专家 李婷婷(鸿杉) 蚂蚁金服大安全基础安全资深安全专家 简介 零信任安全最早由著名研究机构 Forre ...
- 持安科技孙维伯:实战零信任最佳实践
Gartner预测,到2025年,60%的企业机构将把零信任作为安全工作的起点. 但是,国内许多企业在实施所谓的零信任时,却并没发现零信任有多"香",这是为什么? 也许你用的零信任 ...
最新文章
- 数据分析利器Jupyter Notebook!
- Java_数据交换_Jackson_用法入门
- hdu4662 简单搜索打表
- 【Python基础】学习Python 一定要吃透这 5 个内置函数
- html5移动web开发实战必读书记
- 【Linux】gcc + gdb 安装教程
- msfconsole启动失败并报错`not_after=‘: bignum too big to convert into `long‘的解决方法
- treebagger matlab,MATLAB – TreeBagger example
- rhel7.5安装mysql8.0教程_RHEL7.5下mysql 8.0.11安装教程
- Android 手机抓包工具 Packet Capture
- C++实现24点游戏
- 【锟斤拷】的故事:谈谈汉字编码和常用字符集
- Excel数据透视,日期最大值或最小值显示为0
- QT虚拟键盘中英文切换
- getch方法_C语言 getch()用法及代码示例
- google翻译不能用后chrome浏览器如何翻译网页
- Python数据分析:数据库索引如何提高效率?
- net slim 分割_如何用TensorFlow和TF-Slim实现图像标注、分类与分割
- 谷歌浏览器插件:json处理工具JSONVue
- 中国社科发布十大调查研究咨询公司信息