1. 白十三的码路首页
  2. 安全

构建安全新模式,零信任如何破局 ?

白山云持续寻找安全最优解

日前,美国总统拜登签署“改善国家网络安全行政命令”,强调了联邦政府必须果断实施零信任架构等措施以加速网络安全现代化。

伴随企业业务上云、数字化转型落地等技术变革,传统网络边界被打破造成新的安全困境。当传统安全建设的“守成者”力不从心,不受制于边界的零信任架构成为更有潜力的“破局者”。白山云基于十年安全行业经验,持续寻找新场景下的安全最优解

传统安全防护“守成者”危机四伏

传统防护体系基于“边界”构建,默认边界以内,人、设备、系统与网络环境均可信;边界以外,均不可信。然而由于新场景层出不穷,传统网络安全架构在日益严峻的新挑战下险象环生。

  • 内部风险传统安全访问控制采用粗粒度授权,攻击者一旦进入内网,企业则无法应对其在内部的横向攻击;同时内部“合法用户”的威胁,也否定了基于边界区分是否“可信”的有效性。
  • 外部风险:云计算、物联网、远程办公等技术落地,各类应用分散部署在不同公有云、私有云及本地IDC。越来越多的应用在网络边界暴露业务端口,增加了数据暴露面,被攻击风险大幅上升。
  • 安全管理难度大、IT建设效率低通过堆叠部署不同维度的安全产品建立的统一安全边界,其“创可贴式安全”提升了IT复杂性,导致网络管理难度加大。

为应对传统边界防护面临的风险及挑战,网络安全建设亟需新架构加持,于是强调“永不可信,始终验证”的零信任理念备受关注。

零信任理念正在成为“破局者”

作为新一代网络安全防护理念,零信任并非单一的安全技术或产品。其目标是降低资源访问过程的安全风险,防止未经授权的资源访问;核心是打破信任和网络位置的默认绑定关系。零信任将防护从依靠网络边界的“马奇诺防线”向个体保护目标收缩,把防护重心从网络转移到资源本身。

行业普遍认为零信任架构需遵循以下原则:

  • 始终假定网络是危险的;
  • 始终警惕存在外部和内部威胁;
  • 仅凭网络位置,不足以决定网络信任度;
  • 所有设备、用户和网络流量均需经过检查、身份认证和授权;
  • 策略必须是动态的,并基于尽可能多的当前状态信息得出。

NIST在《零信任架构》中提出了零信任概念架构模型:

构建安全新模式,零信任如何破局 ?

注:图片引用自NIST《零信任架构》

访问者访问企业资源时,需通过存在于控制平面、数据平面的策略决策点与策略执行点授予访问权限。

  • 控制平面:策略决策点作用于控制平面,拆分为策略引擎和策略管理器;Ø  策略引擎负责最终决定是否授予访问者对资源的访问权限;Ø  策略管理器负责建立或切断访问者与资源的通信路径;
  • 数据平面:策略执行点作用于数据平面,负责启动、监控、终止访问者与资源的连接。

作用于控制平面的策略引擎进行访问决策时,还需其他数据源提供输入和策略规则,包括:CDM系统、行业合规系统、威胁情报源、网络与系统行为日志、数据访问策略、公钥基础设施、身份管理系统、SIEM系统等。

白山云零信任理念实践

白山云安全团队基于对零信任的理解和深入研究,整合现有边缘云平台的安全能力,推出白山云零信任产品方案。

参考零信任架构体系,白山云零信任产品方案也从控制平面和数据平面两方面实现:

  • 控制平面:收集各个节点的检查结果,通过策略引擎进行持续信任评估和分析决策,最终根据决策结果判断下一步访问请求的动作;
  • 数据平面:通过在用户设备上安装的客户端对设备进行安全检查,确保设备接入的安全性;同时将流量引至白山云边缘节点,发挥边缘节点所具备的安全能力,对过往流量进行检查过滤,阻断恶意请求;另一部分访问流量则通过身份认证和权限识别后,最终访问授权应用。

基于两大平面进行五项判断,完成可信性确认与动态信任评估:

  • 确认设备可信:基于客户端、第三方安全检查产品进行设备安全检查,确认接入设备是否可信;
  • 确认行为可信:在边缘节点先行检查所有流量,并结合威胁情报与恶意软件分析技术,实现针对恶意请求和内容的阻断,同时将相关访问行为记录上传策略引擎持续分析,确保行为可信;
  • 确认身份可信:结合身份管理组件,对每一个访问请求进行持续身份认证,保证授权访问应用的身份可信;
  • 确认应用可信:授权访问应用隐藏至白山云边缘后端,实现应用完全隐身;
  • 动态信任评估:UEBA引擎基于环境/行为/身份等信息进行持续信任评估,动态调整访问权限;

借助零信任理念,白山云帮助企业实现动态控制与授权、资产集中管控、降低IT复杂度,全面强化安全能力建设

目前白山云已为银联商务、中集集团、万达集团、新东方、小红书等客户提供安全解决方案,服务覆盖政务、金融、制造、地产、互联网等三十余行业。未来,白山云将持续推进零信任实践,筑牢安全基础,完善跨行业、跨场景的解决方案,助力企业数字化转型。

关于白山云

白山云科技是全球领先的边缘云服务商,提供中立的基础设施、云原生安全、开发者引擎等产品及服务。结合企业数字化转型的云化需求,以及5G和IoT应用落地场景,白山云致力于为全球企业客户提供跨行业不同应用场景的解决方案。

原创文章,作者:白山码路长,如若转载,请注明出处:http://blog.baishan.com/cloud-native-security-services/zero-trust-build-a-new-security-model

发表评论

登录后才能评论