【翻译】零信任架构准则(一)Introduction to Zero Trust

news/2024/4/15 4:03:58/文章来源:https://blog.csdn.net/qq_33823833/article/details/136533082

零信任简介

零信任架构是一种移除内网信任的一种系统设计方法,它假定访问网络的用户都是有敌意的,因此,每个访问请求都需要基于访问防护策略去验证。零信任架构对用户请求的可信度是通过持续构建用户行为上下文来实现,而上下文又依赖于强大的身份验证,授权,设备运行状况和所访问的数据资产的价值。如果你不确定零信任是否是你需要的网络架构,或者你是零信任的初学者,那么我们的网络架构指南会是一个很好的阅读切入点。

关键概念

在阅读和遵循我们的零信任原则时,需要牢记一些关键概念。

网络充满敌意

网络应该被视为受到威胁攻击,我们应始终对其保持敌意,这意味着需要从你提供的网络服务中删除任何默认可以相信的东西。在零信任架构中,固有信任已经从网络架构中移除。虽然你已连接到网络中,但这并不意味着你能够访问该网络服务的所有内容。其次,每个访问数据或服务的请求都应该根据访问策略进行身份验证和授权,如果某一时刻连接不满足访问策略,那么该连接就应该被终止掉。

存在某种攻击手段,就是当攻击者通过了授权来到了服务内网,然后在内网中横向移动去获得更高的权限或更高价值的数据,这完全是有可能的,因为传统的网络服务架构认为只要你认证通过进入了内网,那么你就拥有访问内网其他资源的权限,比如说可以做端口扫描。在零信任架构中,网络被视为充满敌意,因此访问每个数据或服务的请求都要根据动态+静态策略不断去验证,这与传统网络边界(内网资产+防火墙)相比,这将提高对网络攻击者横向移动尝试的监控和检查,但零信任并不能完全消除攻击者横向移动带来的威胁。

动态获取信任

访问网络服务的用户,设备和服务连接,我们不能刻板认为哪些是可信任的,我们需要持续评估这些连接的可信度。对于访问服务的用户,你必须首先建立对用户身份,行为以及设备健康状况的评估策略,然后才能让他们访问服务。简言之,我们对连接授权的苛刻程度完全取决于所访问数据的价值,或所请求操作被允许后所带来的影响。例如,访问敏感的个人数据可能需要访问策略,该策略包含是否是采用加密协议(https),是否内网应用安装了某个安全漏洞补丁或采用了安全启动等等。另一方面,低价值数据(千古难题,我们中午吃什么)可由组织中的任何人查看,无论他们的身份验证强度或设备健康状况如何。

术语

在讨论零信任架构时,拥有共同的词汇表是很有帮助的,以下是整个零信任原则中使用的一些术语。

术语翻译解释
Access Policy访问策略信任和授权访问请求时的策略
Configuration Policy配置策略描述设备和服务配置选项的策略
Signal信号量一条描述设备状况和用户行为的信息,例如设备运行状况或位置,它可以帮助我们评估访问的可信度,我们通常都是会使用多个Signal组合决定是否授予对资源的访问权限
Policy Engine策略引擎决定授予指定访问主体对资源的访问权限,核心作用时信任评估
Policy Enforcement Point策略执行点负责主体与访问客体之间的连接,包含建立连接,持续监控,并最终终止连接。由两个组件客户端(如PC上的agent端)和资源端组件(如资源前控制访问的网关)
Device Health设备健康状况是否符合配置策略并处于设备可信状态,例如,已安装最新安全补丁,启用安全启动功能等

Signal

PE and PEP

为什么需要零信任

不断变化的边界

传统范式下,网络边界固定,受信任的内网受负载均衡和防火墙之类的网络设备保护,但这个范式已被虚拟网络取代并且过去的网络协议也被认为不是原生安全的。实际上,许多当前的网络协议(例如 IPSec 和 SSL VPN)都存在已知的漏洞。 此外,大量的移动和物联网设备对传统固定网络中边界网络的本质带来了挑战。一个常见的用例是现场承包商必须访问内部和云中的网络资源。混合架构也正在发展,在这种架构中,企业工作站通过云赋能异地客户和合作伙伴处的员工可以共用站点设施。此外,在这些情况下,通过站点到站点的连接(包括与第三方的互连)重新定义了域边界。

IP 地址挑战

今天一切都依赖于对 OSI 网络堆栈 1-4 层上 IP 地址的信任,但这带来了一个问题:IP 地址缺乏任何类型的用户信息来验证设备请求的完整性。IP 地址根本无法拥有用户上下文信息。IP 地址仅提供连接性信息,但不对终端或用户的可信度提供指示。最后,IP 地址会动态分配,或者当用户从一个位置移至另一个位置时会发生变化,因此不应用作网络位置的基准。

实施集成控制的挑战

网络连接的单点信任很难实现。在允许通过防火墙访问之前集成身份管理是一项非常消耗资源的任务。其次,为单个应用程序提供控制安全态势的能力目前是一个巨大的挑战。改造应用程序和容器平台的安全性需要集成访问控制、身份管理、令牌管理、防火墙管理、代码、脚本、管道和图像扫描,以及对集成的整体编排。这对大多数团队非常困难。

零信任解决哪些问题

先连接再验证

大多数网络装置都允许在验证身份之前进行访问。由于没有万无一失的守护者可以检验身份声明,因此访问控制机制可以被绕过。身份验证、授权和基于令牌的访问控制系统,不论是否经过加密,都可能存在多个缺陷。

本质上讲,组织为设备提供连接到 Internet 的 IP 地址时做了三件事:

• 拒绝尝试连接的恶意行为者,这个群体主要依靠威胁情报来标识。

• 通过漏洞、补丁和配置管理功能加固机器,使其无懈可击。但事实证明这种做法不可行。

• 部署没有用户上下文的网络层防火墙设备。这些防火墙容易受到内部攻 击,或使用过时的静态配置。

(注意:下一代防火墙(Next Generation Firewalls, NGFs)确实考虑了用户上下文,应用上下文和会话上下文,但仍是基于 IP 的,会由于应用层漏洞而导致不确定的结果。)

监视端点需要消耗大量计算、网络和人力资源

使用 AI 进行端点监视尚无法正确检测出或防止未经授权的访问。虽然受保护资源有各种虚拟的隔离,但是随着时间的推移,(攻击者)可以通过捕获身份的详细信息了解授权机制以及伪造人员、角色和应用的身份验证凭证,从而进行破坏。

AI 目前在快速发展,需要熟练的安全专业人员提供分析以检测和预防新的、不断发展的威胁。大量数据与训练有素的模型结合,可以检测到众所周知的攻击向量。但是要检测前所未见过的带有欺骗意图的全新入侵途径,则需要结合性能监视、交易数据模式分析和安全专家提供的分析。仅依靠端点监视仍然会使企业容易受到不可检测的攻击。

缺乏用户上下文的数据包检查

网络数据包检查有其局限性,即数据包“分析”发生在应用层,因此入侵可能在检测前已经发生。

传统上,数据包检查是在防火墙上或防火墙附近使用入侵检测系统(IDS)和/或在重要的战略监视区域进行的。传统的防火墙通常基于源 IP 地址控制络资源的访问。检查数据包的根本挑战是从源 IP 识别用户。工具是基于 IP 地址检查的。尽管可以使用现有技术检测某些攻击(例如 DDoS 和恶意软件),但是绝大多数攻击(例如代码注入和凭证盗用)这些攻击在应用层执行,因此需要上下文才能检测。

零信任的价值

安全价值

  1. 减少攻击面

控制平面和数据平面分离,从而隐藏应用,避免潜在的网络攻击,保护关键资产和基础设施

2. 保护关键资产和基础设施

通过隐藏来增强对云应用的保护,给管理员更集中的管控(对所有的应用访问可视化管理+支持即时监控 )

3. 应用隐藏

在用户/设备经过身份验证和授权访问资产之前默认关闭 ,端口拒绝访问

4. 降低管理成本

降低端点威胁预防/检测的成本 ,降低事故响应成本 ,降低集成管理的复杂性

5. 基于连接的安全架构

提供基于连接的安全架构。零信任把以下分散的安全元素集成到了一起: 用户感知应用,客户端感知设备,防火墙/网关等网络感知元素

6. 单包授权 SPA

使用单包授权机制确定连接,并启用身份验证和授权的控制

7. 连接预审查

用基于用户、设备、应用、环境等因素制定预审查机制, 去控制所有的连接在允许访问资源之前进行身份验证

控制层面和数据层面分开,在TLS/TCP握手之前进行身份验证并提供细粒度的访问控制,进行双向加密的通信

8. 开放规范

针对审查机制建立社区,让更多参与者反馈规则问题、不断优化规则

商业价值

  1. 节省成本和人力

SDP可取代部分传统的网络安全组件,减少了其许可和支 持成本,可以最小化或取代MPLS、提高线路利用率,减 少或取代专网,降低企业成本。同时SDP安全策略可以降 低操作的复杂性和对传统安全工具的依赖,简化网络安全 管理,提升工作效率,最终有助于减少人力需求。

2. 敏捷IT运营

IT流程如果响应不及时会影响业务流程并进一步影响企业效率,而SDP的机制实现了IT或IAM事件的自动驱动, 保证IT流程的即时响应,从而满足业务和安全需求。利于 GRC(治理、 风险与合规) 传统的网络安全方法相比,SDP降低了风险并减少攻击面,防止基于网络的攻击和应用程序漏洞的利用。

4. 更好的数据审核分析

SDP对用户、设备、访问的应用集中管理,可以更方便的进行数据收集、生成报表,和数据审核分析,同时可以为 在线业务提供额外的连接性溯源跟踪。SDP的网络微隔离技术经常被用来缩小管理的单元范围,这对于报表的生成 和分析十分有利。

5. 更适合云安全迁移

SDP降低了应用上云所需的安全成本和复杂度,支持公共云、私有云、数据中心和混合部署,可以帮助企业快速、 清晰、安全的完成业务上云迁移。与其他方式相比,SDP可以让业务云迁移更快、更好、更安全。

6. 加速业务转型

通过微隔离和权限控制实现物联网安全,可以连接到迁移工程师而不影响现有业务,结合物联网和私有区块链打造 下一代安全系统。

翻译:zhihu于顾而言

Reference

zero-trust-architecture/Introduction-to-Zero-trust.md at main · ukncsc/zero-trust-architecture · GitHub

CSA GCR发布| 《软件定义边界(SDP)和零信任》(中文版) (c-csa.cn)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_998072.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

解决tomcat双击startup.bat一闪而过的问题

这种问题可能是tomcat找不到你的jdk环境配置路径 1、首先在tomcat的bin文件夹找到startup.bat 和catalina.bat两个文件 2、startup.bat用记事本打开 在末尾添加pause 3、保存修改,双击startup.bat如果出现这种问题,就是找不到jdk路径 4、用记事本打开ca…

苹果电脑专业的Mac垃圾清理工具CleanMyMac X4.14.7

CleanMyMac X是一款专业的Mac清理工具,它具有强大的功能和易用的界面,可以帮助用户快速清理Mac上的无用文件和垃圾,优化系统性能,提升电脑运行速度。 该软件的核心功能包括智能扫描与清理、应用程序管理、隐私保护和系统维护等。…

Newsmy储能电源与您相约九州汽车生态博览

2024年3月7日—10日,第24届 深圳国际智慧出行、汽车改装及汽车服务业态博览会(以下简称“九州汽车生态博览会”)将在深圳国际会展中心(宝安)举办,Newsmy纽曼集团将在3号馆32523展位,携全系产品与…

高效办公-浏览器基本操作

日常我们使用电脑,其实很大部分是用于网络功能,这里面除了客户端程序剩余的就是通过我们的浏览器获取信息或者使用业务系统了,这里就简单学习下浏览器基本常识与操作。 一、浏览器是什么? 白话讲浏览器就是一个软件,我…

如何在Linux系统部署MeterSphere服务并配置固定公网访问地址

文章目录 推荐 前言1. 安装MeterSphere2. 本地访问MeterSphere3. 安装 cpolar内网穿透软件4. 配置MeterSphere公网访问地址5. 公网远程访问MeterSphere6. 固定MeterSphere公网地址 推荐 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默&#…

搭建Zabbix监控系统

1、Zabbix基础 Zabbix是一个基于Web界面的企业级开源监控套件,提供分布式系统监控与网络监控功能。具备主机的性能监控,网络设备性能监控,数据库性能监控,多种告警方式,详细报表、图表的绘制等功能。检测的对象可以是L…

20个Python函数程序实例

前面介绍的函数太简单了: 以下是 20 个不同的 Python 函数实例 下面深入一点点: 以下是20个稍微深入一点的,使用Python语言定义并调用函数的示例程序: 20个函数实例 简单函数调用 def greet():print("Hello!")greet…

深度学习500问——Chapter02:机器学习基础(3)

文章目录 2.10 主成分分析(PCA) 2.10.1 主成分分析(PCA)思想总结 2.10.2 图解PCA核心思想 2.10.3 PCA算法推理 2.10.4 PCA算法流程总结 2.10.5 PCA算法主要优缺点 2.10.6 降维的必要性及目的 2.10.7 KPCA与PCA的区别 2.11 模型评估…

【k8s】利用crobjob实现定时宿主机集群任务

可以考虑这么个场景,服务商的服务集群以K8S部署在云端,并以一条防火墙策略放通某专线ip或端口,以供外部用户访问。现在出现了这么个需求,由于周末或节假日不上班,客户要求在这些时刻去禁用这些防火墙策略,以…

14:00面试,15:00就出来了,问的问题过于变态了。。。

从小厂出来,没想到在另一家公司又寄了。 到这家公司开始上班,加班是每天必不可少的,看在钱给的比较多的份上,就不太计较了。没想到2月一纸通知,所有人不准加班,加班费不仅没有了,薪资还要降40%…

【RT-DETR有效改进】全新的SOATA轻量化下采样操作ADown(轻量又涨点,附手撕结构图)

一、本文介绍 本文给大家带来的改进机制是利用2024/02/21号最新发布的YOLOv9其中提出的ADown模块来改进我们的Conv模块,其中YOLOv9针对于这个模块并没有介绍,只是在其项目文件中用到了,我将其整理出来用于我们的RT-DETR的项目,经过实验我发现该卷积模块(作为下采样模块)…

场景问题: VisualVM工具Profiler JDBC不是真实执行的SQL

1. 问题 诡异的问题表象: 前端反馈分页接口的Total字段一直为0 使用Visualvm中的 Profiler 注入到应用后,查看JDBC监控得到了分页接口执行的SQL,复制出来执行是55. 此时还没有注意到 IN 的范围中有一个特别的值 NULL 🤨 2. 排查…

Unity 动画(旧版-新版)

旧版 旧版-动画组件:Animation 窗口-动画 动画文件后缀: .anim 将制作后的动画拖动到Animation组件上 旧版的操作 using System.Collections; using System.Collections.Generic; using UnityEngine;public class c1 : MonoBehaviour {// Start is called before…

DNS——域名系统

TCP/IP提供了通过IP地址来连接到设备的功能,但对用户来讲,记住某台设备的IP地址是相当困难的,因此专门设计了一种字符串形式的主机命名机制,这些主机名与IP地址相对应。在IP地址与主机名之间需要有一种转换和查询机制,…

深度学习_19_卷积

理论: 目前问题在于识别图片所需要的模型权重数量会比较大 一般图片像素在12M也就是一千两百万像素,要用模型对其整体识别的话,需要至少一千两百万权重,那也仅仅是线性模型,若用多层感知机的话,模型的数据…

STM32 | STM32时钟分析、GPIO分析、寄存器地址查找、LED灯开发(第二天)

STM32 第二天 一、 STM32时钟分析 寄存器:寄存器的功能是存储二进制代码,它是由具有存储功能的触发器组合起来构成的。一个触发器可以存储1位二进制代码,故存放n位二进制代码的寄存器,需用n个触发器来构成 在计算机领域&#x…

2024中国云计算大分野:重回当年,还是走向未来?

再过些年,如果有人写中国云计算发展史,那么他应该会着重描述2024年2月的最后一个星期。 这短短几天里,发生了反差感拉满,且都极具变革意味的两件事。科技产业天天“重磅发布”,但其实真正具有变革意味的重磅消息并不多…

【深度学习笔记】计算机视觉——单发多框检测(SSD)

单发多框检测(SSD) sec_ssd 在 sec_bbox— sec_object-detection-dataset中,我们分别介绍了边界框、锚框、多尺度目标检测和用于目标检测的数据集。 现在我们已经准备好使用这样的背景知识来设计一个目标检测模型:单发多框检测&…

【嵌入式——QT】QTreeWidget

QTreeWidget类是创建和管理目录树结构的类,QTreeWidget每一个节点都是一个QTreeWidgetItem对象,添加一个节点前需先创建。QTreeWidget类是一个便利类,它提供了一个标准的树widget,具有经典的基于item的界面,类似于Qt 3…

【开源】SpringBoot框架开发快乐贩卖馆管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 数据中心模块2.2 搞笑视频模块2.3 视频收藏模块2.4 视频评分模块2.5 视频交易模块2.6 视频好友模块 三、系统设计3.1 用例设计3.2 数据库设计3.2.1 搞笑视频表3.2.2 视频收藏表3.2.3 视频评分表3.2.4 视频交易表 四、系…