1零信任安全简介
云计算、大数据、物联网和移动互联网时代,网络安全边界逐渐瓦解,内外部威胁愈演愈烈,传统的边界安全难以应对,零信任安全应运而生。
零信任安全代表了新一代网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。
图1、NIST零信任安全框架图
在零信任安全理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要,多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。
2零信任成功应用于IT安全
图2、IT数据中心的南北向和东西向流量
零信任安全架构已经成功地应用到IT安全领域,成功解决了IT数据中心南北向和东西向安全防护的痛点。当前零信任的落地技术主要有三个:软件定义边界(Software Defined Perimeter,简称SDP)、身份识别与访问管理(Identity and Access Management,简称IAM)和微隔离(Micro Segmentation,简称MSG)。SDP和IAM的技术结合,解决了企业远程安全办公、远程安全运维和远程安全研发的网络安全和数据安全问题,也解决了数据中心南北向网络隐身、身份认证和访问控制的难题。MSG技术,解决了数据中心东西向流量可视化、访问控制和策略自适应的难题。
表1、国外零信任SaaS的典型企业
SDP是由国际云安全联盟CSA于2013年提出的基于零信任理念的新一代网络安全技术架构。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权,SDP可以在网络层上执行最小权限原则,可以显著地缩小攻击面。
图3、基于SDP的南北向安全防护
SDP架构由客户端、安全网关和控制中心三个主要组件组成。客户端和安全网关之间的连接是通过控制中心与安全控制通道的信息交互来管理的。该结构使得控制平面与数据平面保持分离,以便实现完全可扩展的安全系统。此外,SDP架构的所有组件都可以集群部署,用于扩容或提高系统稳定运行时间。
