400-6655-745
技術干貨 | 遇見零信任——零信任框架
2020-04-22


自2014年在云安全聯盟(CSA)引入軟件定義邊界(SDP)的初始規范以來,零信任網絡(ZTNA)概念一直在不斷發展。


尤其在Google基于ZTNA推出的BeyondCorp框架后更是點燃了從事IT安全領域無數人心中的夢想。


最近幾年異常紅火,特別在今年年初由于疫情的緣故大部分企業都采用了遠程辦公的方式后更是炙手可熱,究其原因其實我們都在尋求更安全、更可靠、更可信的解決方案,而不滿足于可能給企業帶來潛在風險和損失的現狀。


目前許多企業并不具備遠程辦公條件,對可用性、穩定性方面咱先不說,在安全性方面是存在著大量隱患的。


具體有兩方面:


一、傳統的企業沒有互聯網應用而通過VPN的方式訪問,不僅要安裝客戶端而且高風險也很高,它只對網絡層進行控制,無法去管應用層,當用戶通過VPN驗證后,后端的服務應用也就差不多是裸奔了,由于大部分企業都是外緊內松,認為“內網可信外網不可信”,所以DMZ也就是這么來的,攻擊者一旦拿到用戶憑據就很容易突破VPN或DMZ,剩下的就看各個服務應用本身的安全防護了,而內部的服務應用普遍防護都比較弱,尤其是企業自開發應用,更是無法禁受攻擊者的探測和劫持?,F有的服務應用業務基本上也都是靜態的RBAC模式,獲得角色或組幾乎就等同于獲得了所有業務的操作權限。傳統應用未來基本都會轉向互聯網,安全也將是首要問題。

二、互聯網企業由于服務應用都部署在云端,員工可以不用VPN直接進行訪問,但由于服務應用直接暴露在互聯網上,雖然外網上的服務應用安全防護相比內網的應用會好許多,但也經不起攻擊者的持續探測和DDoS攻擊,一旦有漏洞被利用,服務應用就岌岌可危,造成的經濟損失將無法估計;

那么軟件有漏洞嗎?這個問題貌似微軟最有資格回答,而最近思科暴出的CDPwn漏洞就威脅數以千萬計的企業設備。

以上還只限于外部的攻擊,那么內部員工呢?認證后真的可信了嗎?有句話說“不會讓員工犯錯誤的制度才是好制度”,千萬別去考驗人性,我們會非常失望的,也許有人說自己肯定沒問題,那么又能堅持多久呢?就像饑餓的時候面對一塊面包需要靠意志力去堅持一樣,那為什么要去面對?拿走不是更好嗎?不讓內外網員工在訪問資源上有區別對待,而且都沒有犯錯誤的機會,這就是ZTNA要做的事情。



零信任網絡(ZTNA)概念簡單地說一切皆不可信,想要信任拿出證據來證明自己。具體到業務場景就是后端的服務應用在互聯網上不可見,對外提供的只有訪問代理,能給予終端(用戶、設備、應用)什么樣的訪問權限取決于對終端信任度為多少,不可見容易理解,怎么理解對終端的信任度呢?這就像我們在尋求幫助,熟悉的人給予多,而陌生的人給予少。給予多的是因為了解,有著更多的信任,而陌生的則不然。同樣,在ZTNA的架構里,終端要訪問后端的服務應用,需要有身份讓訪問代理識別,這還不夠,身份只是標識,但仍然無法解決想干什么的問題,這還需要終端提供更多的可信信息,譬如設備、用戶、環境、應用的信息等,后端的策略引擎會動態評估給出是否給予相應訪問權限的結果。



在ZTNA中,終端被認為是主體,是訪問的發起方,一般指設備、用戶、應用、環境或它們之間的疊加,這里的應用也作為主體出現,應用之間通過API的調用就是如此;被訪問的資源稱為客體,一般指應用、數據庫、操作系統、網絡設備等;主體對客體想干什么就是動作了;環境就是終端所處的狀態,比如地理環境、設備軟件、系統補丁、設備型號等;所有這些的屬性都組成了主體訪問客體在策略引擎中動態評估權限的依據,一般被定義在安全的上下文中。


對終端而言,信息提供越完整,可信度也就越高,可訪問的權限也就越大,當然權限和訪問的服務應用給予的最高權限相關。這里的權限是基于策略引擎下評估的細粒度訪問權限(ABAC),可根據信息度的差異獲得不同權限的最終組合。


ZTNA是先認證后訪問的,對外提供的只有訪問代理,與現有的應用認證后再訪問不同,后者是完全暴露給終端,意味著也同樣暴露給了攻擊者,這存在安全隱患;另一個方面現有應用無法做到動態細粒度訪問控制(ABAC),基于靜態的RBAC模式已無法滿足企業對業務安全性的要求。


以下是ZTNA增加ABAC訪問控制后的概念模型:



這里我們可以看到ZTNA包括設備、應用注冊,統一身份管理,數字證書,單點登錄(SSO),訪問代理時需要策略引擎進行策略評估;而訪問控制(ABAC)則有策略實施(PEP)、策略決策(PDP)、策略定義(PAP)、策略信息(PIP)共同組成對外提供服務。當然在PDP里也可以引入人工智能進行補充,完善動態訪問機制;訪問代理可作為網關監控數據,保障數據的可信度。


從安全性上說,可以做到內外網安全訪問的一致性,外網訪問完全可以替代傳統的VPN對內網訪問,由于后端的服務應用在互聯網上不可見,訪問代理認證通過后才會與應用建立鏈接,因此應用不會受到互聯網攻擊,完成SSO后終端會獲得臨時令牌,訪問代理會驗證臨時令牌和終端可信信息,并對異常數據進行監控,極大減少了攻擊面,增加了攻擊的難度,即便攻擊者拿到用戶憑據已失去了意義。


據2019年Gartner市場預測,到2022年通過ZTNA可以訪問80%向生態系統合作伙伴開放的新數字業務應用程序;到2023年有60%的企業將淘汰大部分的VPN而采用ZTNA。

未來,  將是企業擁抱零信任網絡(ZTNA)的時代。




相關推薦

您的需求,我們隨時傾聽

  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
  • 上海派拉上海派拉
提交
上海派拉
  • 上海派拉上海
  • 上海派拉北京
  • 上海派拉廣州
  • 上海派拉深圳
  • 上海派拉長春
  • 上海派拉武漢
  • 上海派拉成都
? 2015 Paraview Software. All rights reserved.
滬ICP備13029541號

滬公網安備 31011502012922號

新马快乐8是合法的吗 体彩快乐扑克怎么玩 快三预测软件免费安卓 彩票开奖查询 陕西11选五玩法技巧 中彩开奖结果历史记录 云南快乐十分购买技巧 股票 云南11选五任选走势 黑龙江十一选五开奖结果一定牛茶叶 上证指数如何开户