摘要: 导语:零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信...
导语:
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
一、零信任的发展背景
传统的网络安全是基于防火墙的物理边界防御,也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代,该防御模型前提假设是企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。
然而,随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。
二、Forrester对零信任的解释
Forrester使用ZTX模型来解释零信任。ZTX模型提出,零信任的构建要以数据保护(Data)为中心,同时对能够访问数据的元素也要进行保护。这些元素包括:人员(People)、设备(Devices)、网络(Networks)和工作组件(Workloads)。除此之外,ZTX还要求能够基于工作负载中的数据进行分析,以支撑安全决策。并且对于一些手工流程,要能够实现自动化并将其同安全策略和危机响应联系起来。
三、Gartner对于零信任的解释
Gartner通过CARTA模型来解读零信任。CARTA模型的理念就是从预测(Predict)、预防(Prevent)、检测(Detect)、响应(Respond)这四个方面对企业的人员、设备、应用、数据和工作负载进行持续的风险评估。Gartner把零信任看的更微观,它使用ZTNA(Zero Trust Network Access)和ZTNS(Zero Trust Network Segmentation)两个术语。其中ZTNA指代user-to-server的安全,ZTNS指代server-to-server的安全。这两个方面都是基于CARTA模型来进行构建。
四、零信任的核心思想
零信任是一个全面的安全模型,它涵盖了网络安全、应用安全、数据安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。企业中有很多的IT基础设施和安全工具,零信任要求我们整体的审视和统筹这些工具,把身份作为中心,进而在企业中构建属性敏感或者环境敏感的动态访问控制策略。
五、指掌易SDP安全网关方案
指掌易灵犀SDP是一个基于“零信任”理念的安全接入网关,提供SPA单包授权、最小化授权、持续信任评估等技术,将企业业务应用从互联网上“隐身”,避免被扫描和攻击,保证业务访问的安全性。
方案优势:
网络完全隐身:无需开放任何TCP端口,让企业服务从互联网上“隐身”,不为潜在攻击者提供任何端口扫描和攻击的机会。
传输性能更高:即用即连,不用不连,SDP网关不会消耗额外的服务器和网络资源,传输性能比传统ssl VPN更高,用户体验更佳。
快速实施部署:不对企业现有网络架构产生影响,兼容所有类型的业务应用,支持所有主流类型终端,可快速实施部署。
一体化的办公安全方案:灵犀SDP安全网关可与MBS移动业务智能安全平台、灵犀PC安全浏览器无缝对接,形成端、管、云一体化的、闭环的办公安全方案。
六、总结
指掌易从创立之初便专注于零信任安全能力的建设和落地,指掌易积极践行“零信任“安全理念,基于用户身份、设备信息、设备健康度、网络环境、时间等多种因素,对网络接入进行综合身份认证,不遗漏任何可疑因素。并围绕行业客户应用场景,推出零信任SDP网关“灵犀”,配合指掌易移动业务智能安全平台MBS,为广大政企客户提供云、管、端全方位的统一接入安全方案,重铸企业网络安全边界。目前,指掌易零信任安全解决方案已在众多行业用户落地实施,并获得用户的高度认可。
稿源:指掌易科技