网络成瘾症

首页 » 常识 » 常识 » 零信任网络架构建设及部分细节讨论企业高
TUhjnbcbe - 2024/8/17 18:53:00
北京治疗白癜风究竟花多少钱 https://m-mip.39.net/czk/mipso_4513569.html

01零信任初识

困境

传统的IT组网中,网络安全需求的落地往往把重心放在以下工作:

1.精心设计的网络结构,如:带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离等;

2.在网络边界部署专用安全“盒子”设备上,如:F5、IPS、WAF、DDOS等。

这些经典的网络安全部署方案,长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展,传统安全方案的缺点越来越明显。

1.整体防御能力重边界、轻纵深,面对攻击者的横向扩展束手无策

复杂的网络部署环境造成过长的网络边界,单点突破往往难以%杜绝,“容忍单点突破、杜绝全面失守”已成为系统化安全建设的共识。而在过于强调边界防护的传统安全方案下,网络边界越来越容易成为实际上的“马奇诺防线”。

攻击者往往第一步会通过应用薄弱点(0day或nday)、水坑攻击、钓鱼邮件等手段绕过企业重兵部署的防御边界,找到突破点后,通过端口扫描探测更大的攻击目标。

2.检测能力的局限性

WAF、IPS、DDOS等安全防护设备,都是基于规则进行防护。攻击者常用以下两种方式来实现对防护的逃逸:

1)通过编码、异形报文进行逃逸;

2)通过大流量的攻击报文,超出设备检测能力逃逸。

3、审计、权限控制的缺失

当攻击者或内部人员以正常业务操作途径,尝试恶意登录、越权下载数据、破坏数据完整性时,现有的“盒子”设备欠缺防护能力。对于上述恶意操作,一般以以下方式进行管控:

1)确保业务系统对人员的最小授权;

2)能够通过审计能力,在事中或事后发现侵害行为;

3)通过动态风控手段,结合一定规则、用户行为特征,实现侵害行为的事前阻断。

4、无法满足企业服务上云后的安全需求

服务上云已经成为越来越多企业的必然选择,公有云、混合云部署场景下,云上服务存在网络界面扁平、攻击面大、服务动态伸缩等特点,传统的防护手段已无法适用。而现有云上的安全组、防火墙策略,则存在配置不灵活等问题。

零信任

应对传统企业防护方式的困境,零信任的思想及网络架构的出现,给我们提供了另外一种防御的思路。在过去的10年里,零信任的演进也让我们看到了问题解决的更多可能性。

年时任Forrester研究机构的首席分析师JohnKindervag提出了零信任(ZeroTrust)的概念。

年Google对外宣布基于零信任概念的新一代网络安全架构BeyondCrop落地完成,外界普遍认为此次Google网络安全架构的改革,与Google在“极光行动”中总结的经验教训有关。

年9月,NIST发布了DraftNISTSpecialPublication-《ZeroTrustArchitecture》为给出了零信任官方意义上的解读。

年2月NIST对其进行了更新,发布了Draft(2nd)NISTSpecialPublication-,细化了零信任架构的细节,更有力地推动了零信任思想的发展和落地。

零信任思想,引用NISTSpecialPublication-中的一段话:

“ZeroTrustArchitecture(ZTA)providesacollectionofconcepts,ideas,and

1
查看完整版本: 零信任网络架构建设及部分细节讨论企业高