云深互联CEO陈本峰谈及零信任,表示零信任不仅仅是关于用户身份、远程用户访问或网络分段等单一技术。零信任是一种策略,是构建网络安全生态系统的基础。
如今,云环境变得更加复杂,使得托管业务关键型应用程序和数据容易受到黑客的攻击。虽然没有安全战略是完美的,数据破坏永远不会被完全消除,但是,零信任减少了攻击面,缩小了被攻击的范围,降低了数据泄露的风险。
陈本峰表示,零信任的三个特性
1、终止所有连接: 许多技术(例如防火墙)使用“直通”方法,这意味着文件会在接受检查的同时发送给收件人。如果检测到恶意文件,则会发送警报,但通常为时已晚。相比之下,零信任终止每个连接,因此它可以在未知文件到达端点之前保存和检查它们。零信任建立在代理架构上,在线运行并以线速检查所有流量,包括加密流量、执行深度数据和威胁分析。
2、使用基于上下文的细粒度策略保护数据: 零信任应用用户身份和设备状态来验证访问权限,并使用基于上下文的细粒度业务策略,包括用户、设备、所请求的应用程序以及内容类型。策略是自适应的,这意味着随着上下文的变化,例如用户的位置或设备,用户访问权限会不断重新评估。
3、通过消除攻击面来降低风险: 零信任将用户直接连接到他们需要的应用程序和资源,而永远不会将他们连接到网络。通过启用一对一连接(用户到应用程序和应用程序到应用程序),零信任消除了横向移动的风险,并防止受感染的设备感染其他网络资源。在零信任的情况下,用户和应用程序对 Internet 是不可见的,因此无法被发现或攻击。
1. 降低业务和组织风险
零信任假设所有应用程序和服务都是恶意的,在它们可以通过其身份属性(满足预定义信任原则(例如身份验证和授权要求)的软件或服务本身的不可变属性)得到肯定验证之前,不允许进行通信。
因此,零信任降低了风险,因为它揭示了网络上的内容以及这些资产的通信方式。此外,随着基线的创建,零信任策略通过消除过度配置的软件和服务并持续检查每个通信资产的“凭证”来降低风险。
2. 提供对云和容器环境的访问控制
安全从业人员对迁移到和使用云的最大恐惧是失去可见性和访问管理。尽管云服务提供商 (CSP) 安全性有所发展,但工作负载安全仍然是 CSP 和使用云的组织之间的共同责任。也就是说,一个组织在其他人的云中可以影响的范围有限。
借助零信任安全架构,安全策略是根据通信工作负载的身份应用的,并且直接与工作负载本身相关联。通过这种方式,安全性尽可能接近需要保护的资产,并且不受 IP 地址、端口和协议等网络结构的影响。因此,保护不仅随它尝试通信的工作负载而移动,而且即使环境发生变化也保持不变。
3. 有助于降低数据泄露的风险
由于零信任基于最小特权原则,因此假设每个实体(用户、设备、工作负载)都是敌对的。因此,在授予“信任”之前,检查每个请求,对用户和设备进行身份验证,并评估权限,并且随着任何上下文变化(例如用户的位置或正在访问的数据)不断重新评估这种“信任”。
如果攻击者通过受损设备或其他漏洞在网络或云实例中立足,则该攻击者将无法访问或窃取数据,因为不受信任。由于创建“一个的安全部分”的零信任模型,因此无法横向移动,这意味着攻击者无处可去。访问始终被锁定。
零信任将所有用户和工作负载连接与互联网隔离开来,因此它们不会被暴露或被利用。这种不可见性使得证明遵守隐私标准和其他法规变得更加简单,并减少了审计中的发现。
零信任可以作为服务提供,这是Gartner在其 零信任网络访问 ( ZTNA ) 框架中推荐的。它也可以分阶段实施,组织从最关键的资产开始。作为替代方案,他们可以先将非关键资产作为测试用例,然后再更广泛地实施零信任。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
“特别声明:以上作品内容(包括在内的视频、图片或音频)为凤凰网旗下自媒体平台“大风号”用户上传并发布,本平台仅提供信息存储空间服务。
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。