未來信媽已來,零信任安全架構時(shí)代已經到來 道公
- 分類:行業動态
- 作者:
- 來源:
- 發布時(shí)間:2021-03-23
- 訪問量:924
未來已來,零信任安訊小全架構時(shí)代已經到來 來議
【概要描述】
大(dà)數據時(shí)代,互聯網鐵明江湖(hú)複雜而險惡,網絡黑暗(àn)勢力無兒員處不(bù)在,即便是在各大(dà)知名品牌與企業盡全力木還做好(hǎo)自身網絡防護的情況下,一些網絡犯罪份子(zǐ)還請下是在2020冠狀病毒大(dà)流行的這一年,抓住全開公球數億員工(gōng)在家(jiā)遠程辦公的機會(huì),大(d公知à)肆增加對企業的網絡攻擊和勒索。讓我們(men)來看看2020 年發生了要業哪些高頻數據洩露和網絡攻擊事件:
2020 年 2 月,雅詩蘭黛洩露 4.4 億用戶敏感信息;說關2020 年 3 月,5.4 億新浪微博用戶數據遭洩露;2雨下020 年 4 月,Zoom 50 多萬用戶的登錄憑證遭黑客竊取;訊房2020 年 5 月,泰國移動運營商洩露件購 83 億條用戶數據記錄;2020 年6 月,甲骨文公司洩露數 1男唱0 億條網絡數據記錄……
這些數據洩露事件令許多全球知名品牌與企業放對成為(wèi)網絡攻擊的受害者。究其原因主要是由于傳統網絡動嗎安全架構默認内網是安全的,認為(wèi)網絡安全就是邊界安全木喝,因此通(tōng)過在邊界部署大(dà)量上拿的安全産品如(rú)通(tōng)過防火牆路外、WAF、IPS、網閘等設備對網絡邊界進行層層防護,但殊不(bù)知土時燈下黑的道理,隻知屯重兵于邊界,不(bù)重視甚至忽視企業謝去内網的安全,像蝸牛式保護,外殼堅硬而内部柔弱,防外不愛下(bù)防内,這樣并不(bù)能夠使用戶的網絡變得(de)更加安全,據業藍海界調查表明,網絡安全事件中高達80%是來源于内網,或者輛民内外勾結。
除此之外,随着信息技術不(bù)斷更新還服叠代,雲計算、大(dà)數據等高新技術也加速發展,而傳統網絡的邊界則制算逐漸模糊,很多的數據信息操作、訪問都是由員工(gōng)從外部網絡鐘聽訪問的,這一點在疫情期間尤為(wèi)明顯,因為(wèi)疫情原因使得微還(de)大(dà)部分企業員工(gōng)需要在家(jiā)辦公,這樣就少不(對行bù)了需要采用遠程辦公、線上視頻會(huì土工)議等方式進行工(gōng)作。但當業務與信息化發展融合越緊密,其暴露的風險那鐵就越大(dà),人員通(tōng)過網絡國亮訪問後台應用系統,如(rú)果隻依靠防火牆和入侵防禦這些措施,隻能檢測到流量内房科容的安全性,但對于其身份ID、操作行為(wèi)卻無法鑒别,之前發文歌生的微盟删庫跑路事件、微博用戶數據洩露就是這唱物些風險的代表。
日益複雜的網絡環境不(bù)得(和文de)不(bù)對網絡安全提出了更高的要求,「零信任」這一概念則是在這一物去大(dà)背景下應運而生,近兩年更是成為(wèi)網絡安全的熱門數新詞彙。
什麼是零信任
零信任安全建立在一個簡單的、衆所周知的前提之上:不(子機bù)信任網絡内部和外部的任何人/設備/系統;不(愛舞bù)信任傳統網絡邊界保護,而代之以微邊界保護。
零信任要求将用戶的訪問權限限制為(w會坐èi)完成特定任務所需的最低(dī)限度,在組織内部重構以身份為(wè那近i)中心的信任體系和動态訪問控制體系,建立企業全新的妹飛身份邊界,即微邊界。零信任的關鍵在于控制對數據的訪問權限,而與數據所器都在的位置無關,與訪問發起者的位置無關。
零信任的做法是先信任,後連接,隻有通(tōng)秒低過動态的認證和授權,才可能發起對數據資(zī)源的訪問連接,這和傳統網絡安全先都師連接後信任的方法有主要區别。
零信任産生的原因
傳統網絡隻通(tōng)過物理位置的方式來判斷威暗光脅,但随着“雲大(dà)物移”不(bù)斷融入我們(路水men)的生活,這種由物理上所劃分的安全邊界将逐年讀步瓦解。
02
信息化安全建設的源頭是業務訪問者,如(rú子紅)果缺少對身份、認證、授權、審計等流程,數據洩露及破壞等事件就會輛計(huì)層出不(bù)窮。
03
新技術帶來便利的同時(shí)也帶來了安全線姐問題,信息化發展日新月異,安全措施也不(bù)能近子一成不(bù)變,需要持續性的優化、改進。有業
因此,零信任技術成為(wèi)了解決上述問題的方法。
如(rú)何實現零信任
網絡中充滿了威脅,不(bù)論是是外部還是内部,和以前對暗(àn)号那樣水區,在沒有充分展示可信信息之前,都是不(bù)能允許訪問資(作自zī)源。
02
對于不(bù)同的對象,展示可信信息的方式也大(dà)相徑庭。例如(rú)對于他視人來說(shuō),可信信息包括賬号認證、生物特征認證等;對于終端來說(s機多huō),可信信息包括系統安全性檢測、系統脆弱性檢測等美哥。
03
風險、信任是零信任中最重要的要素,風險代表着訪可麗問對象威脅性,信任代表着訪問對象安全性。兩者判斷方式是冷離通(tōng)過持續性的認證、檢測來實現,例如(rú)在用戶訪問信息資影跳(zī)源時(shí),當出現異常操作時(shí),進行身下站份認證。
04
每個訪問者遵循最小權限原則,對應用系統的訪問新海操作需要精細化到具體操作步驟,例如(rú)請求提交、文檔修改。文快
總之,對于零信任最終實現的方式,可以參考4A,也木街就是賬号、認證、授權、審計這四個功能項。但零信任也不(bù)是單純的4A,喝店而是在其基礎上新增了持續性的概念,也就是賬号全周期管理、認證、權限操作慢飛的持續性檢測。
零信任的規劃
01
零信任涉及到企業全網系統性改造,包括網絡架構、認到道證方式、系統接口對接,這個工(gōng)程量是巨大(dà)的。購務
02
開(kāi)發工(gōng)作
企業業務場景千變萬化,零信任不(bù)會(huì)是一套标準化金劇的産品,需要與用戶需求相貼合,落地實施前會(huì)有大(dà)量開(kāi嗎姐)發工(gōng)作。
為(wèi)了更好(hǎo)實現零信任,我們(men)草花可以将零信任建設分為(wèi)幾個安全節點來分别做規劃:
零信任不(bù)是單純的新增身份認證、權限管控的産品,傳統安全建設也不(務她bù)應該忽視,例如(rú)訪問控制類(NGFW類)、業務分析類(報大APT檢測類)、數據加密(VPN類)、數據防洩商些密(DLP類)。
不(bù)僅僅對訪問者的身份進行确認,更是對其使用的終端環境等因素進行海師搜集判斷。身份認證可以采用IAM等方式,終端環境判斷可姐空以采用EDR、終端桌面管理等方式。
賬号不(bù)僅僅是用戶名+密碼的方式,而是通(tōng)過我她多種因素進行判斷,也就是多因素身份驗證(MFA)。可以通(tōng)過堡壘機、雪自統一應用管理産品來實現。
權限是通(tōng)過前面身份與賬号統一結合後判男冷斷的,并且通(tōng)過持續的監測來判斷林術權限是否合規。可以采用UEBA等方式來實現。章坐
對每個環節産生的日志進行彙總、分析,綜合出使用者科電的信任情況,并将結果反饋給權限控制。可以物玩通(tōng)過日志審計等方式來實現。
★ 結語 ★
面對頻發的數據洩露事件和不(bù)聽校斷上升的經濟損失,企業越來越意識到,如(r到舊ú)果僅靠現有的安全方法,并不(bù)足以應內秒對愈趨嚴峻的安全态勢,因為(wèi)在傳統安全架構一舊設計中,邊界防護無法确保内部系統的安全性能,尤其是随着議不5G、雲計算等新興技術的融入,加劇(jù)了邊界模糊化、訪問路徑多樣化,造成空中傳統邊界防護無從入手。他(tā)們(men)需要更好(朋開hǎo)的東西,而零信任安全體系恰好(hǎo)就能時照給出最好(hǎo)的結果:風險持續預測、動态授權、最小朋現化原則的「零信任」創新性安全思維契合數字基建新技術特點,借作中助雲、網絡、安全、AI、大(dà)數據的技術發展,着力提升錢行信息化系統和網絡的整體安全性,成為(wèi)網絡安全保空車障體系升級的中流砥柱。
未來已來,零信任安全架構時(shí)代已經到來
關于雲湧
雲湧科(kē)技是一家(jiā)以嵌入式技術為(wèi)背景,提供工(gōn西姐g)業信息安全和工(gōng)業物聯網解決方案的高新技術企業。很女公司2004年成立,總部位于江蘇泰州,在北京、鄭州、南京,泰州、習河深圳設有研發中心。2020年在上海證券交易數匠所科(kē)創闆成功上市(股票代碼688060)。
雲湧科(kē)技擁有成熟的基于ARM、Powe山亮rPC、MIPS、龍芯、飛騰等嵌入式開(kāi)發平台,具備FPGA密碼卡從一設計,零信任安全架構,可信計算等核心技術。産品包括:基于可信的工(拍去gōng)業信息安全設備、加密卡及相關密碼組件、基于零信任的邊緣年腦計算機及工(gōng)業物聯網方案。在能源電力、交通(tōng)物流、石畫你油石化、智慧城市等行業,雲湧科(kē)技不(bù)斷為(wèi)客戶提供更好(們子hǎo)的産品和技術服務,與客戶合作共赢,聚創未來。
- 分類:行業動态
- 作者:
- 來源:
- 發布時(shí)間:2021-03-23
- 訪問量:924
大(dà)數據時(shí)代,互聯網呢上江湖(hú)複雜而險惡,網絡黑暗(àn)勢力無處不(bù)在,即便什子是在各大(dà)知名品牌與企業盡全力做好(公對hǎo)自身網絡防護的情況下,一些網絡犯罪份子(zǐ)還是在2020子煙冠狀病毒大(dà)流行的這一年,抓住全球數億員工(gōng)在家(jiā花拿)遠程辦公的機會(huì),大(dà)肆增加對企業的網絡攻擊和笑站勒索。讓我們(men)來看看2020 年發生了哪些高頻數據洩露和網絡攻擊事件喝醫:
2020 年 2 月,雅詩蘭黛洩露 這紅4.4 億用戶敏感信息;2020 年 3 月,5.4 億新浪微了城博用戶數據遭洩露;2020 年 4 月,Zoo樂音m 50 多萬用戶的登錄憑證遭黑客竊取;2020 妹錯年 5 月,泰國移動運營商洩露 83 億條用戶數車為據記錄;2020 年6 月,甲骨文公司洩露數 10 億條網絡數據記錄…友歌…
這些數據洩露事件令許多全球知名品牌與企業成為(wèi)訊公網絡攻擊的受害者。究其原因主要是由于傳統網絡安全架構默認内網是安全的,認為(w拍務èi)網絡安全就是邊界安全,因此通(tōng車靜)過在邊界部署大(dà)量的安全産品如(rú)通(tōng)過防火牆、間花WAF、IPS、網閘等設備對網絡邊界進行層層防護,但殊不(bù)知燈下黑的舊愛道理,隻知屯重兵于邊界,不(bù)重視甚至忽視企業數草内網的安全,像蝸牛式保護,外殼堅硬而内部柔弱,防外不(bù)防内,這樣器用并不(bù)能夠使用戶的網絡變得(de)更加安全,據業界調查表明我科,網絡安全事件中高達80%是來源于内網,或者内外勾結。
除此之外,随着信息技術不(bù)斷更新叠代,雲計算、船男大(dà)數據等高新技術也加速發展,而傳統網絡的邊界則逐漸模糊說人,很多的數據信息操作、訪問都是由員工(gōng)從外部網絡訪問的,這一點在疫情醫月期間尤為(wèi)明顯,因為(wèi)疫情原因使得(de長票)大(dà)部分企業員工(gōng)需要在外書家(jiā)辦公,這樣就少不(bù)了需要采用遠程辦公、愛慢線上視頻會(huì)議等方式進行工(gōng)作。但當業務與信息化發展融女理合越緊密,其暴露的風險就越大(dà),人員通(tōng)過網絡訪問土物後台應用系統,如(rú)果隻依靠防火牆和入侵防禦這些措施,隻能檢測窗房到流量内容的安全性,但對于其身份ID、操作行為(wè事綠i)卻無法鑒别,之前發生的微盟删庫跑路事件答訊、微博用戶數據洩露就是這些風險的代表。
日益複雜的網絡環境不(bù)得(de)不(bù)對網絡安全提她匠出了更高的要求,「零信任」這一概念則是在這一大(dà)說師背景下應運而生,近兩年更是成為(wèi)網絡安全的熱門詞彙。
什麼是零信任
零信任安全建立在一個簡單的、衆所周知的前提之上:不(bù)信任網絡用章内部和外部的任何人/設備/系統;不(bù)信任傳統網絡邊雪雪界保護,而代之以微邊界保護。
零信任要求将用戶的訪問權限限制為(wèi)完成特定任務文弟所需的最低(dī)限度,在組織内部重構以身份為(wèi樂姐)中心的信任體系和動态訪問控制體系,建立企業全新的身份邊界,即微邊界。嗎市零信任的關鍵在于控制對數據的訪問權限,而與數據聽高所在的位置無關,與訪問發起者的位置無關。
零信任的做法是先信任,後連接公空,隻有通(tōng)過動态的認證和授權,才可能發頻好起對數據資(zī)源的訪問連接,這和傳統網絡安全先連接後信任的方法有主要區别。的遠
零信任産生的原因
傳統網絡隻通(tōng)過物理位置的方式來判斷威脅,但随着“雲大(一電dà)物移”不(bù)斷融入我們(men)的生活,這種器子由物理上所劃分的安全邊界将逐步瓦解。
02
信息化安全建設的源頭是業務訪問者,如(rú都金)果缺少對身份、認證、授權、審計等流程,數據洩露及破壞等秒窗事件就會(huì)層出不(bù)窮。
03
新技術帶來便利的同時(shí)也帶來了安全問題,信息化發展日新月異,安全我兒措施也不(bù)能一成不(bù)變,需要持續性的優化、改進。
因此,零信任技術成為(wèi)了解決上述問題的方法。腦西
如(rú)何實現零信任
網絡中充滿了威脅,不(bù)論是是外部還是内部,和以前對暗(懂做àn)号那樣,在沒有充分展示可信信息之前,都是不(bù)信員能允許訪問資(zī)源。
02
對于不(bù)同的對象,展示可信信息的方和拍式也大(dà)相徑庭。例如(rú)對于人來說(shuō),可信信息包括區有賬号認證、生物特征認證等;對于終端來說(shuō),計鐵可信信息包括系統安全性檢測、系統脆弱性檢測等。
03
風險、信任是零信任中最重要的要素,風險代表着訪問對象威生雨脅性,信任代表着訪問對象安全性。兩者判斷方式是通(街會tōng)過持續性的認證、檢測來實現,例如(r舊為ú)在用戶訪問信息資(zī)源時(shí),當出現異常操作時樹行(shí),進行身份認證。
04
每個訪問者遵循最小權限原則,對應用系統的訪問船雪操作需要精細化到具體操作步驟,例如(rú)請求提交、文檔修離村改。
總之,對于零信任最終實現的方式朋民,可以參考4A,也就是賬号、認證、授權、審計這數玩四個功能項。但零信任也不(bù)是單純的4A,而是在其一南基礎上新增了持續性的概念,也就是賬号全周期我個管理、認證、權限操作的持續性檢測。
零信任的規劃
01
零信任涉及到企業全網系統性改造,包括網絡架構、認證方式、系她錢統接口對接,這個工(gōng)程量是巨大(dà)的。
02
開(kāi)發工(gōng)作
企業業務場景千變萬化,零信任不(bù)會(huì)是聽信一套标準化的産品,需要與用戶需求相貼合,落地實下化施前會(huì)有大(dà)量開(kāi)發工(gōng)作。
為(wèi)了更好(hǎo)實現零信任,我們(men)可以将零她從信任建設分為(wèi)幾個安全節點來分别做規劃:
零信任不(bù)是單純的新增身份認證、權限管控的産品錢分,傳統安全建設也不(bù)應該忽視,例如(rú)訪問控制類購器(NGFW類)、業務分析類(APT檢測類)商跳、數據加密(VPN類)、數據防洩密(DLP類)。
不(bù)僅僅對訪問者的身份進行确認,更是對其使用的終端環境藍銀等因素進行搜集判斷。身份認證可以采用IAM等方式,終端環境判斷可以采用ED船體R、終端桌面管理等方式。
賬号不(bù)僅僅是用戶名+密碼的方式,而是通(tōng)過多種因素進行看歌判斷,也就是多因素身份驗證(MFA)。可以通(tōng)過堡壘機、統一應用管雨不理産品來實現。
權限是通(tōng)過前面身份與賬号統一結合後判斷的,并且通坐光(tōng)過持續的監測來判斷權限是否合規。可以采用UEBA等方式來窗放實現。
對每個環節産生的日志進行彙總、分析,綜合出使用者的謝草信任情況,并将結果反饋給權限控制。可以通(tōng)過日志審愛離計等方式來實現。
★ 結語 ★
面對頻發的數據洩露事件和不(bù)斷上升的經濟損失,企冷雨業越來越意識到,如(rú)果僅靠現有的安全方法,并不(bù)足以應對愈趨嚴都亮峻的安全态勢,因為(wèi)在傳統安全架構設計中,邊界防護無大好法确保内部系統的安全性能,尤其是随着5G、雲計算等新興技術嗎男的融入,加劇(jù)了邊界模糊化、訪問路徑多樣化,造成傳統邊界防護無嗎年從入手。他(tā)們(men)需要更好(hǎo)的東西,而零信亮少任安全體系恰好(hǎo)就能給出最好(hǎo)的結果:風險持紅市續預測、動态授權、最小化原則的「零信任」創新性安全思維契合數字基建新音有技術特點,借助雲、網絡、安全、AI、大(dà)數據的技術發展,喝術着力提升信息化系統和網絡的整體安全性,成為(wèi子微)網絡安全保障體系升級的中流砥柱。
未來已來,零信任安全架構時(shí)代已經到來
關于雲湧
雲湧科(kē)技是一家(jiā)以嵌入式技他很術為(wèi)背景,提供工(gōng)業信息安全和工(gōng)業物聯家訊網解決方案的高新技術企業。公司2004年成立,總笑子部位于江蘇泰州,在北京、鄭州、南京,泰州、暗呢深圳設有研發中心。2020年在上海證券交易所科(kē)創闆成功上市(股內去票代碼688060)。
雲湧科(kē)技擁有成熟的基于ARM、Power子高PC、MIPS、龍芯、飛騰等嵌入式開(kāi)發平台,具備FPGA密訊靜碼卡設計,零信任安全架構,可信計算等核心技術。産品包括:基于可信的工(gōng女暗)業信息安全設備、加密卡及相關密碼組件、基于零信任有習的邊緣計算機及工(gōng)業物聯網方案。在能源電道腦力、交通(tōng)物流、石油石化、智慧做器城市等行業,雲湧科(kē)技不(bù)斷為(wèi)客戶提供更好物河(hǎo)的産品和技術服務,與客戶合作共赢,聚創未來。