Chinaunix首页 | 论坛 | 博客
  • 博客访问: 367771
  • 博文数量: 683
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 5835
  • 用 户 组: 普通用户
  • 注册时间: 2022-03-07 15:28
个人简介

天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。

文章分类

全部博文(683)

文章存档

2024年(234)

2023年(247)

2022年(202)

我的朋友

分类: 网络与安全

2024-11-11 17:18:50

本文分享自天翼云开发者社区《谈谈零信任》,作者:****亮

 

零信任本质上是以身份为中心的动态访问控制技术。其核心目标就是保障用户数据不被泄露。其理念就是认为,任何人,设备,应用都是不可信的,而传统的网络安全是假设内网是安全的,外网是不安全 的,因此在内外网边界上部署防火墙,IPS,IDS,WAF等安全设备,构筑成一道道城墙,以为就安全了,而在内部就不再设置什么安全控制策略。而我们知道,传统的边界安全设备是抵挡不住APT攻击的,一旦击穿边界,内部又没有安全防护策略,整个内网很快就会被横向渗透控制。因此我们必须假设内网是不安全的,不管是内网还是外网,任何人,任何设备,他们的访问行为都应该进行认证,授权以及加密,并且这个授权还必须是动态调整的,基于多种属性去评估授权,比如,什么人,什么时间,什么地方,使用什么设备,访问什么资源,只要有一个属性发生变化,那么授权就应该动态调整,才能保障内网的安全访问。

 

零信任和SSL VPN的区别

Zui大的区别是,SSL VPN只对远程接入的用户进行管控,同时用户权限是静态不变的。而零信任是对所有的用户,设备,应用进行管控,认为所有对象都是不可信的,同时用户的权限也会基于对用户的风险评估进行动态调整。

 

零信任安全逻辑的核心要点

1.首先,所有访问请求都被拦截,强制进行登录验证(多因子认证,比如用户名密码+动态口令/验证码),判断用户的身份和权限,只有通过验证的访问请求才会被放行。同时对所有访问流量进行加密,提高安全性。

2.访问权限应该是动态的,而不是静态的

动态访问权限的判断依据是用户的身份库,权限库,信任库。其中身份库提供用户的身份属性,权限库提供基础的权限基线,信任库则通过实时的风险多维度关联和信任评估进行持续维护。

3.进行持续的信任评估生成信任库,结合身份库,权限库数据,基于大数据和人工智能技术,对身份进行持续画像,对访问行为进行持续分析,对信任进行持续评估,Zui终生成信任库,为动态访问控制引擎提供决策依据。另外也可以关联终端安全数据,作为身份分析的补充数据,使得身份分析得到的信任库更加准确。

4.身份库和权限库是访问控制所需的基础数据来源,这些数据可以来自与企业的4A,IAM,LDAP,PKI等身份与权限管理系统联动。或者认证系统,HR系统,OA系统等。

 

阅读(43) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~