提到網(wǎng)絡(luò)安全�,以前人們立馬想到的會(huì)是“VPN”���、“防火墻”和“WAF”等等;現(xiàn)在隨著5G�����、物聯(lián)網(wǎng)時(shí)代的到來(lái)�,企業(yè)不斷被迫重構(gòu)安全邊界,“零信任”已經(jīng)成為網(wǎng)絡(luò)安全的最新流行語(yǔ)之一����。到底什么是零信任呢?
起源
零信任(Zero Trust)最早是由約翰·金德瓦格(John Kindervag)擔(dān)任Forrester Research副總裁兼首席分析師期間創(chuàng)建的�。這是一次對(duì)傳統(tǒng)安全模型假設(shè)的徹底顛覆。
傳統(tǒng)模型假設(shè):組織網(wǎng)絡(luò)內(nèi)的所有事物都應(yīng)受到信任����。事實(shí)上,一旦進(jìn)入網(wǎng)絡(luò)�����,用戶(hù)(包括威脅行為者和惡意內(nèi)部人員)可以自由地橫向移動(dòng)���、訪(fǎng)問(wèn)甚至泄露他們權(quán)限之外的任何數(shù)據(jù)����。這顯然是個(gè)很大的漏洞。
零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)(Zero-Trust Network Access���,以下稱(chēng)ZTNA)則認(rèn)為:不能信任出入網(wǎng)絡(luò)的任何內(nèi)容�����。應(yīng)創(chuàng)建一種以數(shù)據(jù)為中心的全新邊界���,通過(guò)強(qiáng)身份驗(yàn)證技術(shù)保護(hù)數(shù)據(jù)。
為什么需要ZTNA
來(lái)看一組Gartner統(tǒng)計(jì)的企業(yè)辦公&應(yīng)用管理場(chǎng)景數(shù)據(jù):
25%的公司讓其40%的員工遠(yuǎn)程辦公
超過(guò)67%的員工使用他們自己的設(shè)備辦公
80%的自帶設(shè)備(BYOD)均為完全非托管設(shè)備
企業(yè)約50%的時(shí)間都在運(yùn)行基于云的應(yīng)用程序
只有不到10%的組織表示他們完全了解哪些設(shè)備訪(fǎng)問(wèn)了他們的網(wǎng)絡(luò)
可以看出�����,數(shù)字化轉(zhuǎn)型和云計(jì)算推動(dòng)的業(yè)務(wù)生態(tài)無(wú)形中擴(kuò)大了可攻擊面���。以傳統(tǒng)安全技術(shù)(防火墻和VPN)構(gòu)建的企業(yè)邊界����,無(wú)法阻擋不斷向企業(yè)內(nèi)部滲透的威脅�����。企業(yè)邊界本身也在云業(yè)務(wù)場(chǎng)景下瓦解�����。
“內(nèi)部等于可信任”和“外部等于不可信任”的舊安全觀(guān)念需要被打破�。由此,ZTNA應(yīng)運(yùn)而生�����。
ZTNA環(huán)境下����,企業(yè)應(yīng)用程序在公網(wǎng)上不再可見(jiàn),可以免受攻擊者的攻擊����。通過(guò)信任代理建立企業(yè)應(yīng)用程序和用戶(hù)之間的連接,根據(jù)身份���、屬性和環(huán)境動(dòng)態(tài)授予訪(fǎng)問(wèn)權(quán)限���,從而防止未經(jīng)授權(quán)的用戶(hù)進(jìn)入并進(jìn)一步防止數(shù)據(jù)泄露。對(duì)于數(shù)字化轉(zhuǎn)型的企業(yè)�,基于云的ZTNA 產(chǎn)品,又提供了可擴(kuò)展性和易用性。
ZTNA定義與模型
Gartner:ZTNA也稱(chēng)為軟件定義邊界(SDP)��,它在一個(gè)或一組企業(yè)應(yīng)用程序周?chē)鷦?chuàng)建基于身份和環(huán)境的邏輯訪(fǎng)問(wèn)邊界����。企業(yè)應(yīng)用程序被隱藏,訪(fǎng)問(wèn)這些企業(yè)應(yīng)用程序的實(shí)體必須經(jīng)過(guò)信任代理�。在允許訪(fǎng)問(wèn)之前,代理網(wǎng)關(guān)先驗(yàn)證指定訪(fǎng)問(wèn)者的身份�����,環(huán)境和是否遵守訪(fǎng)問(wèn)策略����。這將企業(yè)應(yīng)用程序從公眾的視線(xiàn)中移除,并大大減少了攻擊面���。
Forrester:“企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物�����,應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證���。” ——Forrester首席分析師John Kindervag
業(yè)界的ZTNA產(chǎn)品主要有兩種概念模型:由客戶(hù)端啟動(dòng)的ZTNA和服務(wù)器啟動(dòng)的ZTNA。
客戶(hù)端啟動(dòng)的ZTNA
規(guī)范流程:
1.安裝在授權(quán)設(shè)備上的客戶(hù)端將有關(guān)其安全環(huán)境的信息發(fā)送到控制器���。
2.控制器提示用戶(hù)進(jìn)行身份驗(yàn)證���,并返回允許的應(yīng)用程序列表�����。
3.在對(duì)用戶(hù)和設(shè)備進(jìn)行身份驗(yàn)證之后�����,控制器才允許終端連接至安全網(wǎng)關(guān)��。(這些網(wǎng)關(guān)可以避免服務(wù)器直接面向互聯(lián)網(wǎng)�����,并保護(hù)應(yīng)用程序免受DDoS攻擊���。)
4.當(dāng)客戶(hù)端與控制器建立連接����,有些ZTNA產(chǎn)品在數(shù)據(jù)鏈路中保持與控制器的連接,有些不保持���。
客戶(hù)端啟動(dòng)的ZTNA概念模型
來(lái)源:Gartner(2019年4月) ID:386774
服務(wù)器啟動(dòng)的ZTNA
SDP連接器與應(yīng)用安裝在同一網(wǎng)絡(luò)中��,由SDP連接器建立并維護(hù)一條出站連接����,它直接連接到SDP供應(yīng)商的云�����。用戶(hù)向SDP供應(yīng)商進(jìn)行身份驗(yàn)證后才能訪(fǎng)問(wèn)受保護(hù)的應(yīng)用程序��。之后��,供應(yīng)商通常會(huì)向企業(yè)身份管理產(chǎn)品進(jìn)行身份驗(yàn)證����。SDP供應(yīng)商把通過(guò)SDP代理訪(fǎng)問(wèn)與直接訪(fǎng)問(wèn)的應(yīng)用數(shù)據(jù)流隔離開(kāi)來(lái)。企業(yè)防火墻無(wú)需為入站流量開(kāi)設(shè)通道���。但是��,供應(yīng)商的網(wǎng)絡(luò)成為另一個(gè)必須評(píng)估的網(wǎng)絡(luò)安全性的要素����。
該模型的優(yōu)勢(shì):最終用戶(hù)的設(shè)備上不需要安裝客戶(hù)端,這對(duì)非受管控設(shè)備是一個(gè)很有吸引力的方法�����。
缺點(diǎn):應(yīng)用程序的協(xié)議必須基于HTTP / HTTPS���,僅限于Web應(yīng)用程序和部分協(xié)議的訪(fǎng)問(wèn)方式。
服務(wù)端啟動(dòng)的ZTNA概念模型
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
