零信任(Zero Trust) 体系

零信任(Zero Trust) 体系

随着云计算、大数据、物联网等新兴技术的不断兴起,IT环境变得越来越复杂,IT架构正在从有边界向无边界转变。远程办公通过互联网接入公司总部,访问重要业务信息,任何用户的任何设备在任何位置(在家庭、咖啡厅、地铁等)都有可能接入。这种情况下如何确保权限安全?随着数字业务的发展,网络边界的消失导致基于网络位置的信任体系无法适应数字化转型,企业正在逐渐向更灵活、更安全的零信任框架迁移。零信任:不信任任何人,验证每个人,实施严格的访问控制和身份管理策略,以限制员工访问其工作所需的资源。

对比VPN

VPN是基于网络边界的一部分,可信的员工在内部,不可信的员工在外部。这种模型不再适用于现代商业环境,员工从内部或外部位置访问网络,公司资产多是位于云环境中。VPN无法解决内部攻击,如果攻击者窃取了某人的VPN凭据,就可以自由访问网络。对于承包商、第三方和供应链合作伙伴而言,它做得还不够好。

技术路径

零信任是一种理念,而不是一种技术,软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)是实现零信任的三大技术路径。

  • SDP客户端进行多因素认证,然后进入用户登录阶段;认证通过后,客户端才能够与服务建立连接。
  • IAM具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。决定谁可以访问,如何访问,执行哪些操作。
  • MSG微隔离是细粒度网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境的流量隔离,阻止攻击者进入企业数据中心网络内部后的横向平移。

未来展望&应用场景

近年来零信任理念在不断发展、快速演变中,零信任可以减少数据泄露、拒绝未授权的访问,因此在数据安全方面价值巨大。零信任应用场景不仅仅是远程办公,SaaS营运安全、大数据中心、云安全平台等都是典型的应用场景。

 

软件开发模式——领域驱动设计(DDD Domain-Driven Design) 分布式系统——认证方案
微信公众号