未來已來,零信任安全門理架構時(shí)代已經到來 那費
- 分類:雲湧新聞
- 作者:
- 來源:
- 發布時(shí)間:2021-03-23
- 訪問量:957
未來已來暗員,零信任安全架構時(shí)代已經到來 一腦
【概要描述】
大(dà子南)數據時(shí)代,互聯網江湖(hú)錯科複雜而險惡,網絡黑暗(àn)勢力無處不(bù)在,生是即便是在各大(dà)知名品牌與企業盡全力做好得那(hǎo)自身網絡防護的情況下,一些網絡犯罪份子(zǐ)還是在2020冠狀商你病毒大(dà)流行的這一年,抓住全球數億員工(gōng)在家(jiā)遠放購程辦公的機會(huì),大(dà)肆增加對企業的網絡攻擊土數和勒索。讓我們(men)來看看2020 年發生了哪些高友見頻數據洩露和網絡攻擊事件:
2020 年如雨 2 月,雅詩蘭黛洩露 4.4 億用戶敏感信息;2020議火 年 3 月,5.4 億新浪微博用戶數據拍志遭洩露;2020 年 4 月,Zoom 50 多哥我萬用戶的登錄憑證遭黑客竊取;2020 年 5 月,泰國移動運營商洩露 8他南3 億條用戶數據記錄;2020 年6 月,甲骨文公司洩露數 10 億條網懂志絡數據記錄……
這些數據洩露事一妹件令許多全球知名品牌與企業成為(wèi)網絡攻擊的裡師受害者。究其原因主要是由于傳統網絡安全架構讀開默認内網是安全的,認為(wèi)網絡安全就是邊界安全,因此通(tōng)過大飛在邊界部署大(dà)量的安全産品如(rú)通(tōng)過防媽現火牆、WAF、IPS、網閘等設備對網絡邊界進行層草下層防護,但殊不(bù)知燈下黑的道理,隻知屯重兵于邊界,都紙不(bù)重視甚至忽視企業内網的安全,像蝸牛式保護,外殼堅硬而内部柔弱,行家防外不(bù)防内,這樣并不(bù)能夠使用戶的網絡變得(de做你)更加安全,據業界調查表明,網絡安全事件中高達80%是來源于内網,或者内外勾票呢結。
除此之外,随着信息技術不(bù)村醫斷更新叠代,雲計算、大(dà)數據等高新技術也加速發展,而傳統網絡的邊界則逐漸微理模糊,很多的數據信息操作、訪問都是由員工(g輛水ōng)從外部網絡訪問的,這一點在疫情期間尤為(wèi)明顯,因為(wèi)疫快去情原因使得(de)大(dà)部分企業員工(gōng)得請需要在家(jiā)辦公,這樣就少不(bù)了需要采用光玩遠程辦公、線上視頻會(huì)議等方式進行工(gōng)作。但當到房業務與信息化發展融合越緊密,其暴露的風險就越大(dà),人員通(tōng但他)過網絡訪問後台應用系統,如(rú)果隻依靠防火牆和入侵防禦這不動些措施,隻能檢測到流量内容的安全性,但對于其身份ID、操作行為(w理刀èi)卻無法鑒别,之前發生的微盟删庫跑路事件如要、微博用戶數據洩露就是這些風險的代表。
日益複雜的網離場絡環境不(bù)得(de)不(bù)對網絡安全提出了更高的要求,費匠「零信任」這一概念則是在這一大(dà)背景下地票應運而生,近兩年更是成為(wèi)網絡安全的熱門詞彙。
什麼是零信任
零信任安全建討湖立在一個簡單的、衆所周知的前提之上:不(bù)信任網絡内部吧請和外部的任何人/設備/系統;不(bù)信任傳統網絡邊界保護,而代之以微邊小玩界保護。
零信任要求将用戶的訪問權限限制為美從(wèi)完成特定任務所需的最低(dī)限度,司做在組織内部重構以身份為(wèi)中心的信任訊話體系和動态訪問控制體系,建立企業全新的身店笑份邊界,即微邊界。零信任的關鍵在于控制對數據長妹的訪問權限,而與數據所在的位置無關,與訪問發起者的位置無關。
零信南藍任的做法是先信任,後連接,隻有通(tōng)過動态的認證和授權志不,才可能發起對數據資(zī)源的訪問連接,這和傳統網絡安全先連接後信任的方林鄉法有主要區别。
零信任産生的原因
傳統網絡隻通(tōng)過物理位置的方式來判斷威脅,但随着“雲大(這我dà)物移”不(bù)斷融入我們(men)的在船生活,這種由物理上所劃分的安全邊界将逐步瓦解。
02
信息化安全建設的源頭是業務訪問者,如(rú)果缺少對身份、認術風證、授權、審計等流程,數據洩露及破壞等事件就會(huì)層事師出不(bù)窮。
03
新技術帶來便利的同時(shí)也帶來了安全問題謝街,信息化發展日新月異,安全措施也不(bù)能一成不(bù)變,需要持續性的優影西化、改進。
因此,零信任技術成為(wèi)了解決黃很上述問題的方法。
如(rú)何實現零信任
網絡中充滿了威脅,不(bù)論是是外部還是内部,和以前對暗(àn)員和号那樣,在沒有充分展示可信信息之前,都是不(bù)能允許訪資不問資(zī)源。
02
對于不(bù)同的對象,展示可信信息的方醫但式也大(dà)相徑庭。例如(rú)對于人來計要說(shuō),可信信息包括賬号認證、生物特征認證等;對于終端來說(s站計huō),可信信息包括系統安全性檢測、系統脆弱性檢測等。
03
風險、信任是零信任中最重要的要素,風險代表着訪問對象威脅性,信中你任代表着訪問對象安全性。兩者判斷方式是通(tōng森輛)過持續性的認證、檢測來實現,例如(rú)在用戶訪問信息紅舊資(zī)源時(shí),當出現異常操作時(shí),進視制行身份認證。
04
每個訪問者遵循最小權限原則,對應用系統的訪問操作需要精細化到間化具體操作步驟,例如(rú)請求提交、文檔修改。
總之,對于零信任最終實現的方式,術中可以參考4A,也就是賬号、認證、授權、審計這四個功能影也項。但零信任也不(bù)是單純的4A,而是在其基礎上新增了持志資續性的概念,也就是賬号全周期管理、認證、權限操作的持續性檢測謝飛。
零信任的規劃
01
零信任涉及到企業全網系統性改造,包括網絡架構、認證方式、系統接口對接,這個工(劇機gōng)程量是巨大(dà)的。
02
開(kāi)發工(gōng)作
企業業務場景千變萬化,零信任不(bù)會(h內在uì)是一套标準化的産品,需要與用戶需求相貼合,落地飛文實施前會(huì)有大(dà)量開(kāi)發工(gōng)作。
為(wèi)了更好(hǎo)實現零說黑信任,我們(men)可以将零信任建設分為(wèi)幾個美但安全節點來分别做規劃:
零信任不(bù)是單純的新增身份認證、權限管控的産品,傳統安全建設也不(他和bù)應該忽視,例如(rú)訪問控制類(NGFW就老類)、業務分析類(APT檢測類)、數據加密(VPN類)、數低人據防洩密(DLP類)。
不(bù)僅僅對訪問者的身份進行确認,更是對其使用的終端環境等因素進行事南搜集判斷。身份認證可以采用IAM等方式,終端環境判斷可以采錢用用EDR、終端桌面管理等方式。
賬号不(bù)僅僅是用戶名+密碼的方式,而是通(tōng)過多種因素河他進行判斷,也就是多因素身份驗證(MFA)。可以通紙村(tōng)過堡壘機、統一應用管理産品來實現。
權限是通(tōng)過前面身份與賬号統一結合後判斷的,并且通(tōng)過友吧持續的監測來判斷權限是否合規。可以采用UEBA等方式來家黃實現。
對每個環節産生的日志進行彙總、分析,綜合出使用者的信任事紅情況,并将結果反饋給權限控制。可以通(t林做ōng)過日志審計等方式來實現。
★ 結語 ★
面對頻發的數據店討洩露事件和不(bù)斷上升的經濟損失,企業越來越謝明意識到,如(rú)果僅靠現有的安全方法,并不(bù)足以應對愈趨嚴峻的安月拿全态勢,因為(wèi)在傳統安全架構設計中會聽,邊界防護無法确保内部系統的安全性能,尤其是麗藍随着5G、雲計算等新興技術的融入,加劇(jù)了邊界模糊化、訪問路徑多請媽樣化,造成傳統邊界防護無從入手。他(tā)員笑們(men)需要更好(hǎo)的東西,而零信任安全體系恰好(hǎo在在)就能給出最好(hǎo)的結果:風險持續預測、動态授權討讀、最小化原則的「零信任」創新性安全思維契合數字基建新技術特點,借助雲慢如、網絡、安全、AI、大(dà)數據的技術發展,着力提升路店信息化系統和網絡的整體安全性,成為(wèi)網絡安全保障體系升級來自的中流砥柱。
未來已來,零信任安全架構時(shí)代已經到來
關于雲湧
雲湧科(kē)技是一家(jiā)以嵌入式技術為(wè她街i)背景,提供工(gōng)業信息安全和工(gōng)業城吧物聯網解決方案的高新技術企業。公司2004年成立,總部位頻腦于江蘇泰州,在北京、鄭州、南京,泰州、深圳設有研發中人不心。2020年在上海證券交易所科(kē)創闆成功上市(股票代碼688光歌060)。
雲湧科(kē)技擁有成熟的基于ARM、Powe地匠rPC、MIPS、龍芯、飛騰等嵌入式開(kā林員i)發平台,具備FPGA密碼卡設計,零信任安全架構,可信計算等核心技要去術。産品包括:基于可信的工(gōng)業信息安全設備、加密兵冷卡及相關密碼組件、基于零信任的邊緣計算機及工(gōng)業物聯網方案。在能源電技水力、交通(tōng)物流、石油石化、智慧城市等行業,雲湧科(kē)技不(bù現用)斷為(wèi)客戶提供更好(hǎo)的産品和技術服購去務,與客戶合作共赢,聚創未來。
- 分類:雲湧新聞
- 作者:
- 來源:
- 發布時(shí)間:2021-03-23
- 訪問量:957
大(dà)數據時(shí)代,西了互聯網江湖(hú)複雜而險惡,網絡黑暗(àn)勢力無處不(bù)在,即便是數民在各大(dà)知名品牌與企業盡全力做好(hǎo)自身網絡防護的情況下,妹物一些網絡犯罪份子(zǐ)還是在2020冠狀病毒大(dà)流行的民子這一年,抓住全球數億員工(gōng)在家(jiā)遠程辦公子房的機會(huì),大(dà)肆增加對企業的網絡攻擊和勒索。風愛讓我們(men)來看看2020 年發生了哪些高頻數據洩露和網喝樂絡攻擊事件:
分但 2020 年 2 月,雅詩蘭黛洩露 4.4 億用戶敏感信息風費;2020 年 3 月,5.4 億新浪微博用戶數據遭洩露;行機2020 年 4 月,Zoom 50 多們路萬用戶的登錄憑證遭黑客竊取;2020 年 5事什 月,泰國移動運營商洩露 83 億條用戶數據記錄;2020 年6 月,愛如甲骨文公司洩露數 10 億條網絡數據記錄……
這些大船數據洩露事件令許多全球知名品牌與企業成為(wèi)網絡攻擊的受害者。究其原因短腦主要是由于傳統網絡安全架構默認内網是安全的,認為(wèi)網絡安影鐘全就是邊界安全,因此通(tōng)過在邊界部署大(dà)量的安全訊術産品如(rú)通(tōng)過防火牆、WAF、IPS、網鄉工閘等設備對網絡邊界進行層層防護,但殊不(bù)知燈下黑的道理,隻知屯重兵于邊界飛話,不(bù)重視甚至忽視企業内網的安全,像蝸牛式保護,外殼堅硬而内部柔弱,防長照外不(bù)防内,這樣并不(bù)能夠使用戶的網絡變得(de)更加安全,據拿木業界調查表明,網絡安全事件中高達80%是來源于内網,或者内外勾結。
除此之外,随着信息技術不(bù)你友斷更新叠代,雲計算、大(dà)數據等高新做雨技術也加速發展,而傳統網絡的邊界則逐漸模糊,很多的做說數據信息操作、訪問都是由員工(gōng)從外部網絡訪問的,這一點在疫情期刀筆間尤為(wèi)明顯,因為(wèi)疫情原因使得(de)大(dà兵水)部分企業員工(gōng)需要在家(jiā)辦公,這樣就少不(bù)了需著街要采用遠程辦公、線上視頻會(huì)議等方式進行工(g市鄉ōng)作。但當業務與信息化發展融合越緊密,其暴露的風險就越大(dà也藍),人員通(tōng)過網絡訪問後台應用系統,如(rú)果隻依靠防火牆謝會和入侵防禦這些措施,隻能檢測到流量内容的安全性,但對于其身份門紙ID、操作行為(wèi)卻無法鑒别,之前發生的微盟日請删庫跑路事件、微博用戶數據洩露就是這些風險的代表。
日益複雜的網絡環境又資不(bù)得(de)不(bù)對網絡安全提出了更高的要求,「弟術零信任」這一概念則是在這一大(dà)背景下什的應運而生,近兩年更是成為(wèi)網絡安小和全的熱門詞彙。
什麼是零信任
零信任安全建立在一個簡單的、呢外衆所周知的前提之上:不(bù)信任網絡内部和外部的任何人/設男媽備/系統;不(bù)信任傳統網絡邊界保護,而代之以微邊界保護。
算是 零信任要求将用戶的訪問權限限制為(wèi)完成特定任務所需的最低(dī)限度就短,在組織内部重構以身份為(wèi)中心的信任體系和動态訪問弟劇控制體系,建立企業全新的身份邊界,即微邊界。零信任的關鍵在于控制對數據花購的訪問權限,而與數據所在的位置無關,與訪問發起者的位置無關。
零信任的做法是先信任,後連接,隻有通得他(tōng)過動态的認證和授權,才可能發紙聽起對數據資(zī)源的訪問連接,這和傳統網絡安全先跳工連接後信任的方法有主要區别。
零信任産生的原因
傳統網絡隻通(tōng)過物理位置的方式來判員東斷威脅,但随着“雲大(dà)物移”不(bù)斷融入我們(men)的生活,多商這種由物理上所劃分的安全邊界将逐步瓦解。
02
信息化安全建設的源頭是業務訪問者,如(rú)果缺少對身份、認證、授權算電、審計等流程,數據洩露及破壞等事件就會(h空鐵uì)層出不(bù)窮。
03
新技術帶來便利的同時(shí)也帶來了安全問題,信息化發展日路高新月異,安全措施也不(bù)能一成不(bù)變,需要持續性短朋的優化、改進。
因此,零信任技術成物木為(wèi)了解決上述問題的方法。
如(rú)何實現零信任
網絡中充滿了威脅,不(bù)論是是外部還是内部,和以前對暗(àn市站)号那樣,在沒有充分展示可信信息之前,都是不(bù)能允話商許訪問資(zī)源。
02
對于不(bù)同的對象,展示可信信息的方式也大(dà)相徑庭。例如(rú)對水跳于人來說(shuō),可信信息包括賬号認證、生物特征認證物離等;對于終端來說(shuō),可信信息包括系統安全性檢測吧頻、系統脆弱性檢測等。
03
風險、信任是零信任中最重要的要素,風險代表着訪問對象威脅性務要,信任代表着訪問對象安全性。兩者判斷方式是通(請生tōng)過持續性的認證、檢測來實現,例如(rú)在用戶訪問信息資相機(zī)源時(shí),當出現異常操作時(shí),進行身份認水謝證。
04
每個訪問者遵循最小權限原則,對應用系統的訪問操作需要精細化會民到具體操作步驟,例如(rú)請求提交、文檔修改。
總之冷玩,對于零信任最終實現的方式,可以參考4A,也就是賬号、認證、授權、審計這黑空四個功能項。但零信任也不(bù)是單純的4A,而是在其基礎訊器上新增了持續性的概念,也就是賬号全周期管理、認證算河、權限操作的持續性檢測。
零信任的規劃
01
零信任涉及到企業全網系統性改造,包括網絡架構、認證方下可式、系統接口對接,這個工(gōng)程量是巨章也大(dà)的。
02
開(kāi)發工(gōng)作
企業業務場景千變萬化,零信任不(bù)會問熱(huì)是一套标準化的産品,需要與用戶需求相貼合,落近明地實施前會(huì)有大(dà)量開(kāi)發工(gōng湖微)作。
為(wèi)了更好(hǎo)實現廠書零信任,我們(men)可以将零信任建設分為(wèi北了)幾個安全節點來分别做規劃:
零信任不(bù)是單純的新增身份認證、權限管控的術術産品,傳統安全建設也不(bù)應該忽視,例如麗雜(rú)訪問控制類(NGFW類)、業務分析類(APT檢測類秒愛)、數據加密(VPN類)、數據防洩密(DLP類)。
不(bù)僅僅對訪問者的身份進行确認,更是對其使用能錢的終端環境等因素進行搜集判斷。身份認證可以采用IAM等方式,終端環境判斷舞費可以采用EDR、終端桌面管理等方式。
賬号不(bù)僅僅是用戶名+密碼的方式,而是通(那船tōng)過多種因素進行判斷,也就是多因素身份驗證(MF身銀A)。可以通(tōng)過堡壘機、統一應用管理産品來實現。
權限是通(tōng)過前面身份與賬号統一結合後判斷的,低是并且通(tōng)過持續的監測來判斷權限是否合腦海規。可以采用UEBA等方式來實現。
對每個環節産生的日志進行彙總、分析,綜合出使用者的信任情況,并見銀将結果反饋給權限控制。可以通(tōng)過日志審計等方式來實現。
★ 結語 ★
面對近愛頻發的數據洩露事件和不(bù)斷上升的經濟損失,企業越來越要有意識到,如(rú)果僅靠現有的安全方法,并不(bù)足以應新她對愈趨嚴峻的安全态勢,因為(wèi)在傳統安全爸討架構設計中,邊界防護無法确保内部系統的安全性能,尤其是随着5G、雲計算等新草自興技術的融入,加劇(jù)了邊界模糊化、歌議訪問路徑多樣化,造成傳統邊界防護無從入手。他(tā)們(men)金雪需要更好(hǎo)的東西,而零信任安全體系恰好(hǎo)就能給出嗎線最好(hǎo)的結果:風險持續預測、動态授權、最小化原則的「零信任」創現裡新性安全思維契合數字基建新技術特點,借助雲、網絡、安全、AI、大(唱自dà)數據的技術發展,着力提升信息化系統和明上網絡的整體安全性,成為(wèi)網絡安全保鄉內障體系升級的中流砥柱。
未來已來,零信任安全架構時(shí)代已經到來
關于雲湧
雲湧科(kē)技是一家(jiā)以嵌入式技術為離玩(wèi)背景,提供工(gōng)業信息安全和工(gō會畫ng)業物聯網解決方案的高新技術企業。公司2房腦004年成立,總部位于江蘇泰州,在北京、事道鄭州、南京,泰州、深圳設有研發中心。2020年在輛有上海證券交易所科(kē)創闆成功上市(股票代碼688060)。
雲湧科(kē)技擁有成熟的基于ARM、船慢PowerPC、MIPS、龍芯、飛騰等嵌入式開(kāi)發平台,具備F物鐵PGA密碼卡設計,零信任安全架構,可信計算等南答核心技術。産品包括:基于可信的工(gōng)業信息安全設備、加密卡及相關好嗎密碼組件、基于零信任的邊緣計算機及工(gōng)業物聯網方場答案。在能源電力、交通(tōng)物流、石油石化、智慧城市等行業,雲湧科(k還新ē)技不(bù)斷為(wèi)客戶提供更好(hǎo)的産不唱品和技術服務,與客戶合作共赢,聚創未來。