零信任(Zero Trust)最早是(shì)由約翰·金德瓦格(John Kindervag)擔任Forrester Research副總裁兼首席分析師期間創建的(de)。這(zhè)是(shì)一(yī / yì /yí)次對傳統安全模型假設的(de)徹底颠覆。意思是(shì):不(bù)能信任出(chū)入網絡的(de)任何内容。應通過強身份驗證技術保護數據,創建一(yī / yì /yí)種以(yǐ)數據爲(wéi / wèi)中心的(de)全新邊界。簡單說(shuō)就(jiù)是(shì)“從不(bù)信任,總是(shì)驗證”。
傳統的(de)安全模型架構
組織網絡内的(de)所有事物都應受到(dào)信任,就(jiù)等于(yú),一(yī / yì /yí)旦進入網絡的(de)用戶就(jiù)可以(yǐ)自由地(dì / de)移動、訪問,甚至洩露數據等。由此可見,這(zhè)顯然是(shì)一(yī / yì /yí)個(gè)很大(dà)的(de)漏洞。
由于(yú)傳統網絡安全模型在(zài)逐漸失效,面對更複雜的(de)網絡環境,傳統的(de)網絡安全模型的(de)安全性受到(dào)了(le/liǎo)挑戰:
默認經過認證的(de)用戶都是(shì)安全的(de)
默認邊界内部都是(shì)安全的(de)
保護範圍廣泛
無法感知保護的(de)目标
零信任安全模型架構
零信任安全日益成爲(wéi / wèi)新時(shí)代下的(de)網絡安全的(de)新理念、新架構。ZTNA可以(yǐ)無縫地(dì / de)應用到(dào)家庭和(hé / huò)其他(tā)位置的(de)用戶,爲(wéi / wèi)位于(yú)數據中心或雲中的(de)應用提供身份驗證和(hé / huò)授權,以(yǐ)及應用隐身。
零信任常用在(zài)哪些場景:
1. 建立企業資源的(de)信任級别
企業有多級别管理,建立多種信任級别,區分用戶授權不(bù)同的(de)信任級别,使得低信任級别用戶不(bù)能訪問高級别的(de)資源,增加安全性。
2. 分支訪問總部業務系統
所有的(de)分支訪問總部都需進行用戶身份校驗和(hé / huò)終端/系統/應用的(de)可信确認,并進行細粒度的(de)權限訪問校驗,然後通過零信任網關訪問具體的(de)業務,這(zhè)樣能極大(dà)的(de)減少企業内部資産被非授權訪問的(de)行爲(wéi / wèi)。
3. 企業多雲戰略
需要(yào / yāo)爲(wéi / wèi)終端設備提供多個(gè)公有雲連接通道(dào)的(de)能力,多個(gè)雲複用同一(yī / yì /yí)個(gè)零信任安全控制中心,提供統一(yī / yì /yí)的(de)訪問控制策略,通過低流量的(de)策略同步或者其他(tā)不(bù)影響帶寬的(de)機制,做到(dào)統一(yī / yì /yí)的(de)授權管理。用戶在(zài)具體要(yào / yāo)訪問某個(gè)公有雲上(shàng)業務的(de)時(shí)候,就(jiù)可以(yǐ)通過安全控制中心,對接到(dào)相應雲的(de)零信任安全網關入口進行訪問。
4. 企業内的(de)服務器間通信
爲(wéi / wèi)避免企業的(de)運維人(rén)員使用靜态登錄雲服務器遠程運維,通過安全網關對運維人(rén)員進行集中身份認證(使用企業的(de)統一(yī / yì /yí)身份認證),在(zài)對用戶和(hé / huò)終端設備做身份認證、安全評估和(hé / huò)訪問授權後,爲(wéi / wèi)當前會話臨時(shí)生成證書,作爲(wéi / wèi)服務器登錄的(de)票據,解決服務器運維登錄問題。同時(shí)安全網關也(yě)減少了(le/liǎo)服務器高危端口直接對外暴露的(de)風險。
數據越來(lái)越多,安全越來(lái)越重要(yào / yāo)。數據洩露頻發,讓企業和(hé / huò)用戶喪失安全感。零信任網絡能提供更好的(de)數據洩露防護,讓網絡邊界内外的(de)任何東西,在(zài)未經驗證前都不(bù)予信任。零信任是(shì)對網絡安全行業的(de)重大(dà)颠覆,網絡安全問題将引導着企業向零信任的(de)網絡安全模式轉變。