1零信任安全簡(jiǎn)介

云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全邊界逐漸瓦解，內(nèi)外部威脅愈演愈烈，傳統(tǒng)的邊界安全難以應(yīng)對(duì)，零信任安全應(yīng)運(yùn)而生。

零信任安全代表了新一代網(wǎng)絡(luò)安全防護(hù)理念，并非指某種單一的安全技術(shù)或產(chǎn)品，其目標(biāo)是為了降低資源訪問(wèn)過(guò)程中的安全風(fēng)險(xiǎn)，防止在未經(jīng)授權(quán)情況下的資源訪問(wèn)，其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認(rèn)綁定關(guān)系。

圖1、NIST零信任安全框架圖

在零信任安全理念下，網(wǎng)絡(luò)位置不再?zèng)Q定訪問(wèn)權(quán)限，在訪問(wèn)被允許之前，所有訪問(wèn)主體都需要經(jīng)過(guò)身份認(rèn)證和授權(quán)。身份認(rèn)證不再僅僅針對(duì)用戶，還將對(duì)終端設(shè)備、應(yīng)用軟件等多種身份進(jìn)行多維度、關(guān)聯(lián)性的識(shí)別和認(rèn)證，并且在訪問(wèn)過(guò)程中可以根據(jù)需要，多次發(fā)起身份認(rèn)證。授權(quán)決策不再僅僅基于網(wǎng)絡(luò)位置、用戶角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪問(wèn)控制模型，而是通過(guò)持續(xù)的安全監(jiān)測(cè)和信任評(píng)估，進(jìn)行動(dòng)態(tài)、細(xì)粒度的授權(quán)。

2零信任成功應(yīng)用于IT安全

圖2、IT數(shù)據(jù)中心的南北向和東西向流量

零信任安全架構(gòu)已經(jīng)成功地應(yīng)用到IT安全領(lǐng)域，成功解決了IT數(shù)據(jù)中心南北向和東西向安全防護(hù)的痛點(diǎn)。當(dāng)前零信任的落地技術(shù)主要有三個(gè)：軟件定義邊界（Software Defined Perimeter，簡(jiǎn)稱SDP）、身份識(shí)別與訪問(wèn)管理（Identity and Access Management，簡(jiǎn)稱IAM）和微隔離（Micro Segmentation，簡(jiǎn)稱MSG）。SDP和IAM的技術(shù)結(jié)合，解決了企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運(yùn)維和遠(yuǎn)程安全研發(fā)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問(wèn)題，也解決了數(shù)據(jù)中心南北向網(wǎng)絡(luò)隱身、身份認(rèn)證和訪問(wèn)控制的難題。MSG技術(shù)，解決了數(shù)據(jù)中心東西向流量可視化、訪問(wèn)控制和策略自適應(yīng)的難題。

表1、國(guó)外零信任SaaS的典型企業(yè)

SDP是由國(guó)際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu)。SDP以預(yù)認(rèn)證和預(yù)授權(quán)作為它的兩個(gè)基本支柱。通過(guò)在單數(shù)據(jù)包到達(dá)目標(biāo)服務(wù)器之前對(duì)用戶和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)，SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則，可以顯著地縮小攻擊面。

圖3、基于SDP的南北向安全防護(hù)

SDP架構(gòu)由客戶端、安全網(wǎng)關(guān)和控制中心三個(gè)主要組件組成。客戶端和安全網(wǎng)關(guān)之間的連接是通過(guò)控制中心與安全控制通道的信息交互來(lái)管理的。該結(jié)構(gòu)使得控制平面與數(shù)據(jù)平面保持分離，以便實(shí)現(xiàn)完全可擴(kuò)展的安全系統(tǒng)。此外，SDP架構(gòu)的所有組件都可以集群部署，用于擴(kuò)容或提高系統(tǒng)穩(wěn)定運(yùn)行時(shí)間。