重塑网络安全格局:零信任安全架构的崛起与革新

知白守黑V2024-01-26 14:57

零信任安全架构是一种现代安全模式,其设计原则是"绝不信任,始终验证"。它要求所有设备和用户,无论他们是在组织网络内部还是外部,都必须经过身份验证、授权和定期验证,才能被授予访问权限。简而言之,"零信任"就是"在验证之前不要相信任何人"。

与传统安全不同,零信任安全架构认为网络是不可信任的,把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面,采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。

零信任安全架构的应用场景包括但不限于:企业网络、云计算环境、移动设备、远程办公和远程访问、供应链安全、物联网(IoT)设备安全、应用程序安全和数据安全。本文将对零信任安全落地实践发展趋势进行介绍。

John Kindervag于2010年提出了最初的零信任模型。作为Forrester Research的首席分析师,Kindervag意识到,传统的访问模式基于过时的假设,即企业应该信任其网络内的一切。当时的想法是,基于外围的安全(即防火墙)足以验证用户访问并完全确保网络安全。但是,随着越来越多的员工开始通过各种类型的设备和各种连接远程访问系统,这种信任结构被证明不足以有效管理分布式员工。

与此同时,谷歌创建了BeyondCorp,用于将传统的VPN访问策略迁移到一种新的基础架构,在这种基础架构中,没有任何系统是可信的,所有端点都对访问进行控制和监控。通过将访问权限控制措施从网络边界转移至具体的用户,BeyondCorp旨在让每个员工都能在不借助VPN的情况下通过不受信任的网络工作。BeyondCorp支持单点登录、访问权限控制政策、访问代理,以及基于用户和设备的身份验证和授权。BeyondCorp遵循以下准则:发起连接时所在的网络不能决定对服务的访问权限;根据用户及其设备的上下文因素授予服务访问权限;对服务的所有访问都必须通过身份验证、获得授权并经过加密。

思科则使用图示架构来实现安全且不依赖VPN的内部以及SaaS应用访问,首先通过多因子认证(MFA)来验证对于用户以及设备的信任,再使用单点登录(SSO)连接到公司部署的网关,与此同时根据持续的风险探测进行信任评估,动态调整用户对各个应用的接入权限。

Akamai的零信任架构包含以下几个组件:零信任网络访问(ZTNA)、云访问安全代理(CASB)、安全Web网关(SWG)以及微隔离。ZTNA根据用户及其设备的身份验证结果及时间、位置、设备安全状况等多种属性来给予其适当的信任级别,进而授予访问权限;在云端构建的身份感知代理确保在远离数据中心的边缘完成所有身份验证,进入应用程序的敏感进入路径使用了反向应用程序隧道,去除了边界的IP可见性,降低了流量攻击的风险;SWG则具有DNS检查、URL检查、负载分析、威胁监控等能力;软件定义的微隔离能够提供网络分段以及应用程序层分段,只需要部署软件就能快速轻松地锁定关键应用程序,仅允许通过特定端口和进程进行通信,在遭受恶意攻击时保护重要资产。

派拓的安全访问服务边缘(SASE)解决方案将ZTNA、云SWG、CASB、防火墙即服务(FWaaS)、软件定义广域网络(SD-WAN)整合到云交付平台中。ZTNA通过精细的访问控制安全地连接所有用户和所有应用,精确控制应用和子应用级别的访问,为相关对象授予应用的访问权限之后,系统将持续监控这些对象的可信度,以便识别设备状态、用户行为、应用行为等方面的变化,并通过数据泄露防护策略对所有应用提供一致的安全性;云SWG通过静态分析和机器学习抵御基于Web的威胁;CASB有助于企业安全使用SaaS应用,还提供主动可视性、实时数据保护;SD-WAN支持通过灵活的部署选项启用云交付分支机构。

Fortinet的SASE解决方案为混合办公场景的用户提供一致的安全状态,AI驱动的SWG、ZTNA、CASB、FWaaS和SD-WAN均由一个操作系统承载运行,并且都可以通过统一的控制台进行管理。它集成了云交付的SD-WAN连接和云交付的安全服务边缘(SSE),将网络和安全的融合从网络边缘扩展到混合办公的用户,支持从任何地方安全访问网络、云和应用程序。

根据Gartner的调查报告《Market Guide for Zero Trust Network Access》显示,基于代理的ZTNA越来越多地被部署为更大的SASE架构的一部分,以取代传统上用于应用程序远程访问的VPN。零信任并不是某一种产品,而是一种全方位的策略,没有一种单独的产品能让企业实现零信任,但随着技术的进步和行业的整合,据Gartner在《Predicts 2022: Consolidated Security Platforms Are the Future》报告中预测:"到 2025 年,80% 的企业将采用这样一种策略,即通过一家供应商的安全服务边缘(SSE)平台统一Web、云服务和私有应用程序访问。"

相关推荐
浩浩测试一下3 小时前
Authpf(OpenBSD)认证防火墙到ssh连接到SSH端口转发技术栈 与渗透网络安全的关联 (RED Team Technique )
网络·网络协议·tcp/ip·安全·网络安全·php
网安INF4 小时前
CVE-2020-17518源码分析与漏洞复现(Flink 路径遍历)
java·web安全·网络安全·flink·漏洞
Snk0xHeart4 小时前
极客大挑战 2019 EasySQL 1(万能账号密码,SQL注入,HackBar)
数据库·sql·网络安全
赛卡4 小时前
汽车安全:功能安全FuSa、预期功能安全SOTIF与网络安全Cybersecurity 解析
人工智能·安全·网络安全·车载系统·自动驾驶·汽车
CatalyzeSec5 小时前
一些实用的chrome扩展0x01
安全·web安全·网络安全
leagsoft_10036 小时前
筑牢企业网管域安全防线,守护数字核心——联软网管域安全建设解决方案
网络·安全·网络安全
2501_9159214310 小时前
高敏感应用如何保护自身不被逆向?iOS 安全加固策略与工具组合实战(含 Ipa Guard 等)
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9151063210 小时前
App 上线后还能加固吗?iOS 应用的动态安全补强方案实战分享(含 Ipa Guard 等工具组合)
websocket·网络协议·tcp/ip·http·网络安全·https·udp
中科固源10 小时前
捍卫低空安全!-中科固源发现无人机MavLink协议远程内存泄漏漏洞
网络安全·模糊测试
Z3r4y10 小时前
【云安全】以Aliyun为例聊云厂商服务常见利用手段
网络安全·云安全·aliyun
热门推荐
01基于STM32的智能电池管理系统02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑05DeepSeek各版本说明与优缺点分析06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07VMware虚拟机安装Win7专业版保姆级教程(附镜像包)08wandb使用遇到的一些问题09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10Coze扣子平台完整体验和实践(附国内和国际版对比)