企业推进数字化转型零信任是必须?

news/2024/3/29 22:02:49/文章来源:https://blog.csdn.net/m0_72622669/article/details/127523738

随着企业数字化转型的深入,各企业的网络结构日趋复杂并且向云转化,以往基于边界的网关型身份和访问控制体系难以应对新型威胁;网络接入模式也更加多元化,移动办公、远程接入、云服务等场景在后疫情时代成为新常态,这大大增加了管理和维护的难度与成本。

当企业以传统安全防护理念应对安全风险暴露出越来越多问题时,零信任理念为我们提供了新的安全思路。

零信任是什么?

零信任的最早雏形源于耶利哥论坛。弗雷斯特咨询公司(Forrester)前分析师约翰•金德瓦格以“从不信任,始终验证”思想正式提出“零信任”这个术语,明确零信任架构的理念,改进了在耶利哥论坛上讨论的去边界化的概念,认为所有网络流量均不可信,应该对访问任何资源的所有请求实施安全控制。

谷歌公司基于这一理念启动了BeyondCorp项目实践,阐述了如何为谷歌内部员工构建零信任架构,并陆续发表多篇研究成果论文。

综合分析零信任的发展,不难看出零信任安全的本质是以身份为基石的动态可信访问控制,聚焦身份、信任、业务访问和动态访问控制等维度的安全能力,基于业务场景的人、流程、环境、访问上下文等多维因素,对信任进行持续评估,并通过信任等级对权限进行动态调整,形成具备较强风险应对能力的动态自适应安全闭环体系。

零信任与安全沙箱

零信任,首先是一种数字化时代的安全“哲学”、架构理念,零信任本质上是一种理念和思路,不是某种固 定的技术,也不是对既有技术和体系结构的颠覆。

这是一个正在发展的领域,大家都在路上。在这里,我们只探讨其中一种类型的技术方案:软件隔离。

事实上,隔离技术早已无处不在。

在云端,亚马逊之所以能允许成千上万的“租户”把代码跑在自己的机房里而不用担心安全问题,其中至少有相当一部分原因是跟虚拟机相关的 - 虚拟机就是隔离环境,你的代码只能在这个隔离环境里跑。

从云端到浏览器端,都有隔离机制,这种机制就是:安全沙箱。

在网络技术中计算机沙箱是一种按照安全策略限制程序行为的执行环境,可以理解为一种安全环境。
它就像在Matrix里的人,看不到宿主里其他的平行世界,甚至不知道宿主的存在,无法滥用宿主资源从而毁灭宿主(和其他平行世界)。

此外,任何这样的区域,既然是模拟的,不管里面跑着什么,都可以被“一键删除”,一切归零。

容器类技术,诸如docker、LXC等,有沙箱隔离的特点,但因为共享宿主操作系统的内核,并不提供彻底全模拟的环境,所以往往并不被视为安全沙箱。

数字化的发展,“隔离”是硬道理,只是隔离粒度不同,有云端“租户”之间的隔离、虚拟服务器的隔离、网络间微隔离、进程间隔离、乃至小小一个手机上一段代码(例如一个小程序)的隔离。

安全沙箱应用于企业数字化

企业推进数字化转型的过程中,业务应用、IT 架构、组织机制建设等工作环环相扣。

空讲“数字化转型”无用,它怎么“落地变现”呢?

在凡泰极客,我们认为“小程序化”、“安全沙箱化”是其中一个基石。逻辑如下:

企业的一切业务内容,表现方式就是软件化代码化。企业的数字内容资产,就是软件
软件形态和过去不一样了,它已经彻底脱离PC时代的“单机”,它天然是网络化的、连接型的、传播式的,企业需要掌握软件的出版权、分发权、流动权、使用权

随需随用、用完即走的“轻应用”软件形态,最符合上述要求。其中“小程序”又是轻应用类型技术中最有广泛基础、最贴近Web因此最有生命力的技术 。

用户甚至不再需要去主动意识到“软件”这个概念的强存在,代码都是自动下载、看到就用到的,不再有传统观念下的安装、升级,一切都是透明的

通过网络分发传播而下载运行的代码,永远不可信赖,它只能被关在安全沙箱这样的隔离环境里面跑,没有其他选择

传统企业之间的资源交换与整合,它的数字化形态就是交换自己的“数字内容资产”,也就是我的平台让你的软件放进来跑一跑服务我的客户,我的软件投放到你的环境里触达一下你的客户。“你中有我,我中有你”,可是我们俩彼此在技术层面没有任何信任基础,只认技术安全,“零信任”。所以你的代码我只能放在沙箱里跑,我投放到你那边的代码,也用沙箱隔离着你的环境

在所谓企业“内网”里,运行的一切软件,也不能保证安全,谁知道代码里面用了什么开源组件、供应链是不是已经被污染、是否随着员工随身设备“肉身翻墙”进入了防火墙内部?都得被安全沙箱关着才能运行

凡泰极客的FinClip技术,是一种云端可控的设备端(包括IoT)安全沙箱技术,它以可分发、可流通的小程序代码格式为软件形态,充当下一代企业应用软件的技术底座。

作为Web前端技术的“超集”,基于令牌(non-forgeable token)的安全模型,和当前“零信任架构”下的其他基础技术在最贴近用户、应用的地方能建立良好的配合。

零信任安全架构对传统的边界安全架构模式重 新进行了评估和审视,并对安全架构给出了新的 建设思路。

但零信任不是某一个产品,而是一种新的安全架构理念,在具体实践上,不是仅在企业网络边界上进行访问控制,而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制,从而真正实现“从不信任, 始终验证”。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_218430.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

五、Zabbix — 监控报警那点事儿

监控告警的分类: 邮件 个人邮箱或者企业邮箱,免费使用企业微信 — 告警应用(机器人) 需要企业微信,免费使用钉钉告警 阿里云服务,免费使用短信 收费…

【附源码】计算机毕业设计SSM校园快递代取系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

设计模式之命令模式(行为型)

1、命令模式定义 命令模式(Command),将一个请求封装为一个对象,请求以命令的形式包裹在对象中,传递给调用对象,调用对象寻找可以处理该命令的合适的对象,并将命令传递给相应的对象,该…

creo草绘工程图标注字体大小、加粗设置

刚接触creo,字体又小又细,这的眼睛受不了! 在网上找了很久,发现字体设置非常麻烦,我先是调整了字体的大小,但是字体很细,于是只能通过设置字体来改变粗细,实在找不到设置字体加粗的…

jenkins简介

参考链接:jenkins_L向上z的博客-CSDN博客_jenkins Jenkins详细教程_zhishidi的博客-CSDN博客_jenkins jenkins最主要的作用是什么? - 知乎 1.背景   在实际开发中,我们经常要一边开发一边测试,当然这里说的测试并不是程序员对…

golang-gin框架快速入门--推荐

1.设置golangd的配置; go env :命令后,获取安装gin的国内代理,解决访问国外网站下载包慢的问题 1.1.检查golangd的设置 检查上述三个地方的设置,看看是否正确,重点是工modules这个地方设置,查看是否启用了国…

git实用操作:git rebase -i 合并多个 commit

我们开发的过程中,可能会有多次的修补提交,就会出现多条提交记录和备注信息,此时我们可以使用 git rebase -i来合并多个commit,以简化提交记录 1.合并最近的 4 次提交纪录,执行: git rebase -i HEAD~42.自…

今天不想上班

无语 - - 为什么项目迁移了 算了 不需要脑子思考复杂的 反正我干就是了,领了工资干了活,我菜那是我的事。 顺便学习一下好了。 可能我基础不太行吧。 关于我和同事新一起合作写一个项目 老板让我优化代码后老板满意了同事被封装的痛苦了。 现在…

TortoiseSVN下载安装及问题总结

文章目录TortoiseSVN介绍下载安装问题使用首先将客户端与服务器进行连接检出提交TortoiseSVN介绍 TortoiseSVN是一个开源的版本控制系统,也就是说Subversion管理者随着时间而改变的数据。这些数据放置在任何一个中央资料档案库(repository)中…

中国定制家具行业深度调研及投资前景预测报告

欧派家居VS索菲亚:家具商业的布局史 家具产品的特性决定了家具产业在经济和社会中的重要地位。随着经济的不断发展,家具行业也发展迅速。目前,欧派家居和索菲亚是国内家具行业的龙头企业主。 2.家具企业布局及经营状况: ——家具经营类型:索菲亚、欧派…

Apollo星火计划学习笔记第四讲1——Apollo高精地图模块

Apollo学习笔记零、目录一、高精地图的作用1.1 相对于传统地图二、高精地图介绍2.1 高精地图构成2.2 高精地图制作2.2.1 地图采集2.2.2 地图制作2.2.3 地图标注工具2.2.4 地图保存三、Apollo高精度地图3.1 高精地图目录结构3.2 高精地图格式3.3 Apollo高精地图API接口四、实践案…

【Gateway】统一网关Gateway学习记录

目录 网关能干什么 网关的技术实现 搭建网关服务 网关作用流程图 路由断言工厂(Route Predicate Factory) gateway中有三种过滤器: 1. 默认过滤器(DefaultFiter) 2. 路由过滤器(GatewayFilter&…

3. Longest Substring Without Repeating Characters (无重复字符的最长子串)滑动窗口

文章目录问题英文中文代码小白的码大佬的码知识点unordered_set 容器具有以下几个特性&#xff1a;总结问题 英文 3. Longest Substring Without Repeating Characters (无重复字符的最长子串) 中文 代码 小白的码 #include <iostream> #include <string> #…

Terraform 基础 申请阿里云资源

之前&#xff0c;资源都定义好了&#xff0c;现在就是去申请资源了。 申请这些资源就需要使用terraform的命令行了&#xff0c;开始初始化后端&#xff0c;后端是有存储文件的&#xff0c;默认情况下是在本地存储的&#xff0c;然后会多一些文件。 &#xff08;下载插件&#x…

在python中安装gensim包(为了使用LDA)

LDA是英文“Latent Dirichlet Allocation”的缩写&#xff0c;意思是隐含狄利克雷分布&#xff0c;是一种主题模型&#xff08;topic model&#xff09;&#xff0c;它可以将文档集中每篇文档的主题以概率分布的形式给出。 gensim包中有LDA的一种实现。 本文介绍gensim包的安…

神经网络中的算法-梯度下降算法

目录 一、概述 二、算法思想 1、一维 2、多维 三、梯度下降类型 1、批量梯度下降算法 2、随机梯度下降算法 3、小批量梯度下降算法 一、概述 梯度下降法&#xff08;Gradient descent &#xff09;是一个一阶最优化算法&#xff0c;通常也称为最陡下降法 &am…

NetworkManager nmcli ipv4 静态ip 笔记221025

nmcli connection modify 可以修改现有连接 con 可以写成 c 到 connection 之间的字段mod 可以写成 m 到 modify 之间的字段nmcli connection modify nmcli connec modify nmcli conne modif nmcii conn modi nmcli con mod nmcli co mo nmcli c m nmcli c modify nmcli conne…

购物中心智能管理系统该如何选择

快鲸智慧楼宇系统作为新一代数智化商管系统&#xff0c;以实际业务场景出发构建产品逻辑&#xff0c;并在传统商管系统基础上&#xff0c;拥有独家的商业大数据加持&#xff0c;同时嵌入了BI智能分析工具&#xff0c;打造了一个招商营运场景的数智化系统&#xff0c;将“人的经…

[C++] 初接触 泛型编程—— C++ 模板分析

泛型编程 C中引入了重载的概念&#xff0c;使得可以编写多个函数名相同但参数、返回值不同的函数&#xff0c;例如&#xff1a; 相同的函数名可以传入不同的参宿&#xff0c;进而调用不同的函数 但&#xff0c;即使有了重载&#xff0c;相同功能的函数 还要分别对不同的类型进…

Python之numpy数组篇(下)

目录 一、数组排序 1、概念 2、升序&#xff0c;最大、最小值 3、原地、横向排序 二、数组内积运算 1、概念 2、代码例子 三、访问数组元素 1、使用介绍 2、行列直接访问 3、切片 4、行列访问扩展 四、数组对函数运算的支持 1、概念 2、例子 五、改变数组形状 1…