零信任四化之應(yīng)用零信任化的趨勢(shì)分析
責(zé)編:gltian |2021-05-31 15:02:53未來(lái)零信任發(fā)展會(huì)呈現(xiàn)明顯的“四化”特征,即應(yīng)用零信任化、傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品零信任化、零信任技術(shù)協(xié)議標(biāo)準(zhǔn)化和零信任落地成熟度評(píng)估模型化。
本篇主要探討應(yīng)用零信任化趨勢(shì)分析。
關(guān)鍵詞:應(yīng)用零信任? 網(wǎng)絡(luò)安全趨勢(shì)? 身份訪問(wèn)
01信息化發(fā)展的不同階段
自計(jì)算機(jī)面世以來(lái),企業(yè)的信息化發(fā)展產(chǎn)生了翻天覆地的變化,業(yè)務(wù)需求不斷涌現(xiàn),企業(yè)應(yīng)用也隨之不斷豐富和成熟。
在應(yīng)用建設(shè)的初期,企業(yè)的各個(gè)不同部門為滿足各種不同業(yè)務(wù)目的,采用煙囪式的建設(shè)方式,設(shè)計(jì)和開發(fā)了大量應(yīng)用,例如財(cái)務(wù)系統(tǒng)、人事系統(tǒng)、庫(kù)存系統(tǒng)、辦公系統(tǒng)等,滿足了特定用戶群體的特定業(yè)務(wù)需求,也為企業(yè)的信息化管理帶來(lái)了嚴(yán)峻的問(wèn)題。
題-31.jpg)
隨著企業(yè)應(yīng)用的爆發(fā)式發(fā)展,結(jié)合應(yīng)用技術(shù)的革新,企業(yè)應(yīng)用為用戶提供了便捷的使用體驗(yàn),企業(yè)應(yīng)用版圖逐漸形成了以應(yīng)用門戶為基礎(chǔ)、以專業(yè)應(yīng)用為補(bǔ)充的應(yīng)用格局。面對(duì)越來(lái)越復(fù)雜的應(yīng)用場(chǎng)景,企業(yè)IT管理者的應(yīng)用建設(shè)思路完成了從無(wú)序向有序的轉(zhuǎn)變,然而在長(zhǎng)期的實(shí)踐中發(fā)現(xiàn),由于用戶角色、應(yīng)用場(chǎng)景、用戶設(shè)備和IT網(wǎng)絡(luò)的差異持續(xù)存在,應(yīng)用建設(shè)的標(biāo)準(zhǔn)始終無(wú)法固化和統(tǒng)一。
02當(dāng)前應(yīng)用安全體系的局限
IT信息化幫助企業(yè)提升運(yùn)營(yíng)效率,而應(yīng)用的廣泛使用給企業(yè)信息安全帶來(lái)了大量威脅,企業(yè)的信息安全建設(shè)緊跟信息化建設(shè)步伐,在訪問(wèn)環(huán)境安全、認(rèn)證安全、傳輸安全、系統(tǒng)安全等方面形成了覆蓋應(yīng)用使用全流程的成熟的安全技術(shù)和產(chǎn)品。
題-32.jpg)
應(yīng)用從應(yīng)用開發(fā)廠商和企業(yè)IT管理員的角度分別實(shí)現(xiàn)不同的安全保護(hù)功能。
應(yīng)用開發(fā)廠商以應(yīng)用的功能實(shí)現(xiàn)為主要任務(wù),采用統(tǒng)一身份管理、PKI證書和SSL加密等方式,在用戶認(rèn)證、數(shù)據(jù)傳輸上提供應(yīng)用的基本安全保護(hù)。
企業(yè)IT管理員堅(jiān)守內(nèi)網(wǎng)安全邊界,雖然部署了各種安全產(chǎn)品,但偏向于全網(wǎng)的被動(dòng)防御的安全框架,各安全產(chǎn)品彼此相互獨(dú)立,無(wú)法為IT管理者提供完整的應(yīng)用訪問(wèn)安全視圖和全局訪問(wèn)控制,發(fā)揮的整體效果大打折扣,業(yè)務(wù)應(yīng)用自身風(fēng)險(xiǎn)仍然較高,一個(gè)風(fēng)險(xiǎn)點(diǎn)的突破會(huì)影響大面積的IT信息安全。
網(wǎng)絡(luò)防御設(shè)備
防火墻、IPS、IDS等產(chǎn)品都是針對(duì)網(wǎng)絡(luò)流量的檢測(cè),容易被非法攻擊繞過(guò),同時(shí)無(wú)法檢測(cè)跟蹤加密流量。
殺毒軟件
不管是終端殺毒軟件還是服務(wù)器端殺毒軟件,依賴于特征庫(kù)的持續(xù)更新,而特征庫(kù)本身只能應(yīng)對(duì)已發(fā)現(xiàn)的病毒,無(wú)法檢測(cè)未發(fā)現(xiàn)的病毒,仍屬于被動(dòng)防御。
WEB應(yīng)用防火墻(WAF)
WAF是基于應(yīng)用層的安全防護(hù)產(chǎn)品,通過(guò)特征提取和分塊檢索技術(shù)進(jìn)行特征匹配,能夠?qū)ΤR?jiàn)的網(wǎng)站漏洞攻擊進(jìn)行防護(hù),但仍舊是被動(dòng)防御的方式,只能應(yīng)對(duì)已知的漏洞和攻擊。同時(shí)WAF在使用中也存在弊端,在對(duì)訪問(wèn)請(qǐng)求進(jìn)行特征匹配時(shí),由于特征庫(kù)匹配規(guī)劃的局限性,存在漏報(bào)和誤報(bào)的情況。
03應(yīng)用發(fā)展的新形勢(shì)
企業(yè)的應(yīng)用需求不斷增多,應(yīng)用的使用場(chǎng)景隨著新技術(shù)的出現(xiàn)變得多元化,不同專業(yè)的廠商也在各自領(lǐng)域?yàn)閼?yīng)用的開發(fā)、部署、訪問(wèn)提供業(yè)務(wù)和安全上的深入研究和支持。
業(yè)務(wù)中臺(tái)、API網(wǎng)關(guān)、IDaaS等產(chǎn)品的出現(xiàn),為應(yīng)用的建設(shè)提供了標(biāo)準(zhǔn)化選擇;云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的發(fā)展,打破了企業(yè)固有的IDC建設(shè)模式,應(yīng)用分散部署在不同的公有云、私有云及傳統(tǒng)的IDC機(jī)房,大量標(biāo)準(zhǔn)化SaaS應(yīng)用也成為企業(yè)的選擇;在4G/5G網(wǎng)絡(luò)全面覆蓋的移動(dòng)互聯(lián)網(wǎng)發(fā)展趨勢(shì)下,應(yīng)用的移動(dòng)化使用已經(jīng)深入人心,傳統(tǒng)的IT建設(shè)方式對(duì)于越來(lái)越模糊的邊界的防護(hù)顯得力不從心。
題-33.jpg)
傳統(tǒng)的應(yīng)用技術(shù)發(fā)展以建立業(yè)務(wù)和安全的標(biāo)準(zhǔn)為方向,致力于通過(guò)技術(shù)的方式建立應(yīng)用的開發(fā)和管理規(guī)范,通過(guò)堆疊部署不同維度的安全產(chǎn)品建立統(tǒng)一的安全邊界。長(zhǎng)期的實(shí)踐表明,建立標(biāo)準(zhǔn)的方式無(wú)法完全適應(yīng)應(yīng)用發(fā)展的新形勢(shì),標(biāo)準(zhǔn)化的實(shí)現(xiàn)要求企業(yè)投入過(guò)高的成本,降低應(yīng)用發(fā)展的靈活性,無(wú)法完全避免應(yīng)用的個(gè)性化問(wèn)題,疲于應(yīng)付各種安全風(fēng)險(xiǎn)。
未來(lái)應(yīng)用的發(fā)展要保持靈活性和適當(dāng)?shù)臉?biāo)準(zhǔn)化,避免早期建設(shè)的應(yīng)用的較大改造;同時(shí),需要新的安全構(gòu)架解決新形勢(shì)下的應(yīng)用安全問(wèn)題,加強(qiáng)安全能力的關(guān)聯(lián),減少單一安全風(fēng)險(xiǎn)的影響范圍,提升應(yīng)用的整體安全強(qiáng)度。
04應(yīng)用零信任化趨勢(shì)
與其不斷創(chuàng)造應(yīng)用的建設(shè)標(biāo)準(zhǔn),不如適當(dāng)放開禁錮,在減少應(yīng)用改造的基礎(chǔ)上,仍然保持良好的應(yīng)用體驗(yàn),通過(guò)應(yīng)用安全架構(gòu)的革新,為未來(lái)的應(yīng)用建設(shè)提供可持續(xù)的安全護(hù)航。自零信任概念提出以來(lái),經(jīng)過(guò)長(zhǎng)時(shí)間的發(fā)展和實(shí)踐,零信任構(gòu)架理論已經(jīng)趨向完善,獲得了包括安全廠商、企業(yè)CTO及應(yīng)用開發(fā)廠商的廣泛認(rèn)可,應(yīng)用零信任化趨勢(shì)逐漸清晰。
題-3.jpg)
零信任理念秉持“永不信任,持續(xù)驗(yàn)證”的原則,應(yīng)用的所有請(qǐng)求流量,都由零信任的應(yīng)用網(wǎng)關(guān)進(jìn)行代理,只有信任評(píng)估結(jié)果為可信的賬號(hào)、設(shè)備、網(wǎng)絡(luò)的流量才能正常訪問(wèn)應(yīng)用系統(tǒng),實(shí)現(xiàn)了應(yīng)用全流程的安全因子匯聚和動(dòng)態(tài)評(píng)估,限制了應(yīng)用的風(fēng)險(xiǎn)暴露面,減少了攻擊的威脅影響范圍。
零信任架構(gòu)不要求應(yīng)用進(jìn)行大量的改造,根據(jù)應(yīng)用的實(shí)際使用需要提供包括代理程序(Agent)、客戶端、可集成的SDK三種實(shí)現(xiàn)方式,在零信任安全的基礎(chǔ)上,最大限度地保持良好的用戶體驗(yàn)。
服務(wù)隱藏
傳統(tǒng)的邊界防護(hù)理念中,應(yīng)用需要在網(wǎng)絡(luò)邊界暴露業(yè)務(wù)端口,從而給不法人員提供了可以攻擊的目標(biāo)。零信任采用單包認(rèn)證(SPA)的方式,業(yè)務(wù)服務(wù)端口對(duì)外不可見(jiàn),非法攻擊將失去攻擊的入口,從而保護(hù)應(yīng)用安全。
零信任身份驗(yàn)證與授權(quán)
傳統(tǒng)的邊界防護(hù)基于已知的風(fēng)險(xiǎn)進(jìn)行被動(dòng)保護(hù),在很大程度上加大了攻擊者突破邊界防護(hù)的難度。然而,應(yīng)用漏洞、系統(tǒng)漏洞、0Day漏洞、病毒等層出不窮,甚至內(nèi)部人員的無(wú)意識(shí)行為,都會(huì)造成安全邊界被攻破。
零信任網(wǎng)絡(luò)不再設(shè)置可信的網(wǎng)絡(luò)邊界,采用主動(dòng)防御的方式,只有信任評(píng)估為合法的請(qǐng)求才允許訪問(wèn)業(yè)務(wù)服務(wù),且持續(xù)進(jìn)行動(dòng)態(tài)驗(yàn)證,非法攻擊將無(wú)法穿透到業(yè)務(wù)服務(wù)上。
貼近化網(wǎng)關(guān)
相比于傳統(tǒng)網(wǎng)絡(luò)邊界所定義的內(nèi)網(wǎng)可信區(qū)域,零信任框架將內(nèi)網(wǎng)服務(wù)識(shí)別為不可信,通過(guò)貼近化網(wǎng)關(guān)將內(nèi)網(wǎng)業(yè)務(wù)服務(wù)器進(jìn)行微隔離,只有可信的身份和權(quán)限才能訪問(wèn)授權(quán)的業(yè)務(wù)服務(wù)資源,從而實(shí)現(xiàn)各應(yīng)用服務(wù)之間的零信任化。
基于信任評(píng)估的訪問(wèn)控制
傳統(tǒng)的安全保護(hù)機(jī)制相互獨(dú)立,無(wú)法為應(yīng)用提供整體的安全訪問(wèn)控制。而零信任的信任評(píng)估機(jī)制,結(jié)合了包括用戶環(huán)境、網(wǎng)絡(luò)、角色及權(quán)限、用戶行為等全面的因素進(jìn)行綜合安全評(píng)估,根據(jù)應(yīng)用安全要求,提供與風(fēng)險(xiǎn)評(píng)估結(jié)果一致的訪問(wèn)權(quán)限。
零信任的訪問(wèn)控制并不消滅傳統(tǒng)的安全措施,而是在零信任構(gòu)架的基礎(chǔ)上,結(jié)合并利用傳統(tǒng)的安全措施,形成從環(huán)境、角色、權(quán)限、網(wǎng)絡(luò)到數(shù)據(jù)等全面的縱深安全防御體系。
來(lái)源:FreeBuf.COM
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧