赞
踩
传统的网络安全架构理念是基于边界的安全架构,把网络划分为外网、内网、DMZ区等不同的安全区域,通过在网络区域边界部署防护设备从而达到保护内网资产的效果。
随着典型企业的IT基础设施变得越来越复杂。⼀个企业可能会运营多个内部网络,拥有本地基础设施的分支机构,远程办公接入、BYOD设备以及云上的服务等。这种复杂性已经超过了基于边界的网络安全的传统方法,因为企业没有单⼀的、易于识别的边界。基于边界的网络安全也已被证明是不够的,因为⼀旦攻击者突破边界,进⼀步的横向移动将不受阻碍。
这个复杂的企业导致了⼀种新的网络安全理念及模型的出现,即“零信任”(ZT)。零信任架构(ZTA)是⼀种基于零信任原则的企业网络安全架构,旨在防⽌数据泄露和限制内部横向移动攻击。
零信任的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。
最早提出零信任一词的是咨询机构Forrester的分析员约翰·金德维格(JohnKindervag)。
他提到了三个核心观点:
不再以一个清晰的边界来划分信任或不信任的设备
不再有信任或不信任的网络
不再有信任或不信任的用户
2013年CAS成立软件定义边界SDP工作组,次年发布SDP标准规范;
GoogleBeyondCorp的研究成果并陆续发布6篇相关论文,介绍零信任落地实践;
设计理念如下:
所有网络都不可信;
以合法用户、受控设备访问为主;
所有服务访问都要进行身份验证、授权加密处理。
Gartner在安全与风险管理峰会上发布持续自适应风险与信任评估(ContinuousAdaptiveRiskandTrustAssessment,CARTA)模型,并提出零信任是实现CARTA宏图的初始步骤,后续两年又发布了零信任网络访问(Zero-
TrustNetworkAccess,ZTNA)。
Forrester提出ZTX架构,将能力从为隔离扩展到可视化、分析、自动化编排;
NIST发布的《SP800-207:ZeroTrustArchitecture》标准对零信任架构ZTA的定义如下:利用零信任的企业网络安全规划,包括概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调零信任架构中的众多组件并不是新的技术或产品,而是按照零信任理念形成的一个面向用户、设备和应用的完整安全解决方案。
随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。
访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。
业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
零信任和零信任架构的操作定义:
零信任(ZT)提供了⼀系列概念和想法,旨在最⼤限度地减少在⾯对被视为受损的⽹络时在信息系统和服务中执⾏准确、最⼩权限的每个请求访问决策的不确定性。零信任架构(ZTA)是企业的⽹络安全计划,它利⽤零信任概念并包含组件关系、⼯作流规划和访问策略。
对于在网络规划和部署中使用ZTA的任何组织,都有一些关于网络连接性的基本假设。
概念框架模型显示了组件及其相互作用的基本关系,ZTA逻辑组件使用单独的控制平面进行通信,而应用数据则在数据平面进行通信;
在设备安装agent代理程序,用于创建和管理连接,并且每个资源都有一个组件(即网关)放置在最前面,以便资源仅能与网关进行通信,通过代理将流量引导到策略执行点(PEP)以便对请求进行评估;
通过认证流程进行理解,一个用户希望通过企业分配的电脑连接到企业数据资源,该访问请求由本地代理程序接收,然后将请求发送给策略管理器(PA),PA将请求转发到策略引擎(PE)进行评估,如果请求被授权,则PA通过控制平面配置代理与对应资源网关之间的连接通道,从而访问资源,当工作完成或超时、无法重新认证时,由PA触发终止Agent和Gateway之间的连接;
该模型是代理/网关模型的变体,可用于基于云上微服务的业务流程,在该模型中整个私有云位于网关后;
在该模型中,创建连接的过程和代理/网关模型一致;
在此模型中,PEP是充当用户请求网关的唯一组件,通过网关门户连接到数据资源;
该模型在客户端设备上无需安装Agent代理程序,也代表着来着访问请求设备得信息也会非常有限,此模型只能在资产和设备连接到PEP门户时进行一次校验分析,无法持续进行监控,并且允许攻击者发现并尝试访问门户,具有DOS风险。
将应用程序或进程在资产设备上的隔离区(虚拟机、容器或者其他方式)运行,保护在设备上运行的应用程序。
用户在沙箱中运行已批准和审查过的应用程序,该应用程序可以与PEP通信以请求访问资源,其他未批准应用程序将会被拒绝;
此模型的主要优点是,单个的应用程序和该设备上的其他应用程序隔离。即使无法扫描设备资产上的漏洞,这些独立运行在沙盒的程序也能免受主机上潜在的恶意软件感染,缺点是运维需要大量成本。
TA 是策略引擎PE 用来最终授予或拒绝对资源的访问的进程。策略引擎 PE
接受来自多个源的数据输入:用户信息、用户属性和角色、用户历史行为模式、威胁情报源和其他元数据源的策略数据库,通过获取的数据基于算法模型对用户请求进行评估,判断是否允许访问或者进行二次验证。
基于条件与基于分值 :基于条件的信任算法 TA
假设在授予对资源的访问或允许操作(例如读/写)之前必须满足一组合格属性,只有在满足所有条件时,才授予对资源的访问权或对资源应用操作。
简单说,通过对用户过去的行为以及用户是否绑定电话、终端是否注册等信息进行信任评估得出一个分数,对应的分数对应相应的规则,60分以下拒绝访问应用资源,60-80分之间进行短信二次验证,并且分数会根据用户行为动态评估变化;
独立与基于上下文
:基于上下文的信任算法TA在评估访问请求时考虑用户或网络代理的最近历史记录,当攻击者使用被盗的凭据以一种被PE感知到的不同平常的模式访问信息时,攻击能被检测到。对于用户行为的分析可用于建模出可被系统接受的用户使用方式,与此行为的偏差可能会触发额外的身份验证或者资源请求拒绝。
以上为本人近期零信任学习记录,不喜勿喷,内容主要来自于《NIST零信任架构(正式版)》以及《NIST.SP.800-207》,文中还有很多内容没有进行记录比如:与零信任架构相关威胁以及零信任架构实施等,感兴趣的读者可以在CSA的官网找找资料。
行为的偏差可能会触发额外的身份验证或者资源请求拒绝。
以上为本人近期零信任学习记录,不喜勿喷,内容主要来自于《NIST零信任架构(正式版)》以及《NIST.SP.800-207》,文中还有很多内容没有进行记录比如:与零信任架构相关威胁以及零信任架构实施等,感兴趣的读者可以在CSA的官网找找资料。
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。