导语:
零信任安全架构是一种网络安全技术,它对网络与用户或设备之间的每一次交互进行认证和授权,而传统的网络安全模型允许用户或设备在获得访问权限后在网络内自由移动。零信任安全架构遵循“从不信任,始终验证”的原则,并假设攻击来自网络外部,也来自网络内部。
一、 零信任安全架构产生背景
对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。
可是由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且相互之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全面。对边界内用户存在过度信任问题。
二、 什么是零信任安全架构
零信任架构是一种网络安全技术,旨在解决全球IT系统面临的快速发展的安全风险。这些风险包括员工故意或无意制造安全漏洞的内部威胁,以及来自全球各地的新的、更复杂和持久的威胁。此外,从任何地方、任何时间、任何设备访问资源的需求导致了IT系统越来越复杂且零信任安全架构更侧重于验证和授权网络资源与用户或设备之间的每个交互。
三、传统边界安全理念和零信任安全理念对比
传统边界理念优点有:
1、简单可靠:通过明确的边界和策略,保护目标资源。
2、阻断掉过彻底:可以基于网络层彻底阻断请求数据进入区域内
3、业务入侵低:业务不用做过多改造,边界隔离系统和检测系统可以透明部署。
零信任安全架构理念优点:
1、安全可信度更高:信任链条环环相扣,如果状态发生改变,会更容易被发现
2、动态防护能力更强:持续校验,更加安全。
3、支持全链路加密,分析能力增强、访问集中管控、资产管理方便等
四、零信任的技术方案与实践特点
零信任架构重新评估和审视了传统的边界安全架构,并给出了新思路:应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任;默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;并且访问控制策略应该是动态的,基于设备和用户的多源环境数据计算得来。零信任对访问控制进行了范式上的颠覆,引导网络安全架构从“网络中心化”走向“身份中心化”。从技术方案层面来看,零信任安全架构是借助现代身份管理技术实现对人、设备和系统的全面、动态、智能的访问控制。
五、总结
随着科技的发展,IT系统对各行各业、乃至关键基础设施和经济发展的正常运行都有着重要影响。可是随着IT系统变得更庞大、更复杂,它们更容易受到网络攻击。这时零信任安全架构作为一种网络安全技术,它是非常有必要的。在未来零信任安全架构必将成为企业网络安全的新范式。企业机构应当开放心态,积极拥抱这种理念的变化,务实推动零信任安全架构的落地实践,为数字时代的企业网络安全保驾护航。