擁抱零信任理念,重構安全體系架構

綠盟科技發表於2020-08-12

數字化轉型中,“雲大物移”等技術的業務應用加速落地。新技術、新場景的採用,在彈性計算、移動訪問等方面提升業務效率。然而,從安全防護角度,新技術模糊了企業網路邊界,傳統的基於邊界防護的安全架構受到了挑戰。新技術本身,以及難以避免的Shadow IT問題,帶來新的安全風險。在這種新正規化下,企業必須不斷地分析和評估其內部資產和業務功能的風險,然後制定防護措施來緩解這些風險,這些控制措施既要確保可信訪問的通達,同時提供對網路攻擊的有效防禦,這是零信任出現並且贏得高度關注的背景。

零信任安全是一套關於網路基礎設施設計和執行的指導原則,零信任體系架構是一種端到端的網路/資料安全方法,包括身份、憑證、訪問管理、操作、端點、宿主環境和互聯基礎設施。零信任重點在應用和資料的安全,此二者是IT系統支撐業務的價值核心。

一.零信任理念支柱

零信任的核心理念是:除非得到驗證,否則不信任。對於無邊界的網路訪問而言,後臺的應用和資源,需要驗證來訪的人和裝置。這是零信任的基礎,即使用者可信,裝置可信。初次訪問,只需要驗證二者即可,建立訪問會話之後,還需要持續評估訪問行為的可信,確認來訪問的使用者和裝置始終保持在安全狀態,沒有任何異常行為,一旦出現了異常,能夠及時的自動化的處理,比如信任等級降低,重新認證,或者直接切斷訪問會話。零信任安全的支柱,包含以下四個要素:全面感知、最小授信、持續評估、動態決策。

擁抱零信任理念,重構安全體系架構

圖:零信任理念支柱

1、全面感知

全面感知,指的是要儘可能的收集企業內、外部的資訊,對環境作出正確的評價。全面感知的內容,包括且不限於終端環境感知、網路環境感知、網路威脅感知。對於終端初始訪問請求,更多的需要感知裝置的安全狀況,會話建立後,需要感知網路上訪問行為的情況。

2、最小授信

使用者攜帶終端裝置,訪問資料中心的應用和資源,這個過程中,需要對使用者和終端授信,並且應該只授予最小的、必要的許可權。使用者的認證和許可權,使用者訪問應用的對映,甚至應用對使用者的授權,都應該是最小的許可權。

3、持續評估

使用者訪問應用的過程中,對訪問行為的持續的監控和分析。感知使用者活動和相關實體(使用者相關的應用和終端等)資訊,在此基礎上構建使用者與群組,並定義這些個體與群組的合法和正常行為,把這些人物角色在群體與群體、群體與個體、個體與個體(那些遠離合法和正常行為的群體與個體)維度上相互比對分析,將異常使用者(失陷賬號)和使用者異常(非法行為)檢測出來,從而達到檢測使用者異常、裝置異常、訪問行為異常等行為。

4、動態決策

動態決策,基於使用者、裝置和訪問行為的風險情況,動態執行響應的防禦動作。信任評估引擎完成對使用者、裝置,以及訪問行為的可信評估,再由策略控制引擎完成自動化的訪問控制動作。

擁抱零信任理念,重構安全體系架構

圖:零信任分析和控制

響應動作包括:

· 允許訪問

· 需要二次驗證

· 需要授權

· 拒絕訪問

· 受限訪問(允許訪問普通應用,不允許訪問敏感應用)

二.綠盟科技零信任安全解決方案

零信任安全體系,構建以使用者可信和裝置可信為基礎,持續評估訪問行為可信,自適應訪問控制的架構體系。

擁抱零信任理念,重構安全體系架構

圖:零信任安全架構

零信任策略控制引擎,基於使用者身份和許可權,裝置安全性,來決策是否允許使用者的訪問請求。在使用者訪問過程中,持續評估使用者和裝置的安全風險,必要時策略控制引擎下發指令,中斷當前的訪問會話。

零信任網路安全解決方案實際部署時,在原有的網路安全基礎上,增加零信任安全元件,實現零信任網路訪問控制。

擁抱零信任理念,重構安全體系架構

零信任架構需要多種安全產品和技術來構建。企業可以藉助已經部署的安全產品,將安全防護與零信任相結合,面向未來構建安全架構。評估當前架構和未來願景的差距,參考業界標準和專案實踐,制定路線圖和計劃,逐步向零信任安全架構遷移。


綠盟科技《零信任安全專刊》

零信任安全先從理念開始,向實踐探索。零信任的架構、原則和標準也在演進。正是在這樣的背景下,綠盟科技特別推出《零信任安全專刊》,剖析零信任理念,設計零信任架構,探討零信任實踐,借鑑專案經驗。

擁抱零信任理念,重構安全體系架構

內容看點:

零信任理論

零信任是以信任為基礎,專刊帶你瞭解信任的本質和內涵,零信任的原則等,並探討雲原生安全和零信任安全關聯,對比傳統安全和零信任安全優劣。

架構設計

零信任有多種架構模型,其中以類BeyondCorp架構和SDP架構最為典型。這個欄目就探討這兩種架構的設計和實現。

解決方案

零信任解決方案,是在零信任理念之下,組合產品搭建零信任安全架構。在遠端辦公和運維,大資料中心保護等場景下,指導零信任落地。

專案實踐

零信任的關鍵在於落地,專刊將落地實踐作為重點,介紹了BeyondCopr的專案經驗、綠盟科技落地專案的實踐經驗。

《零信任安全專刊》下載連結:http://blog.nsfocus.net/wp-content/uploads/2020/08/Zero-Trust-.pdf


相關文章