零信任作为解决方案,Hvv还能打进去么?

零信任平台由“中心+组件+服务”三大部分构成,以平台形式充分融合软件定义边界(SDP)身份与访问管理(IAM)、微隔离 (MSG)的技术方案优势,通过关键技术的创新,实现最佳可信访问控制和安全隔离,为用户在业务层、数据层、终端层的访问达到“从不信任,始终验证”的安全效果,提升整体安全水平的同时降低了安全复杂性和运营开销。

ZTA平台方案主要包括零信任中心、零信任组件和服务支撑三个部分。零信任中心负责进行访问主体的信任分析和评估,零信任组件负责执行访问控制策略,服务支撑则提供持续的安全运营服务。关键技术包括第3代SPA技术、新一代沙箱技术、动态访问控制列表(ACL)技术和三层转四层隧道技术等。

ZTA平台通过融合这些技术,实现对网络流量的精准控制和保护,有效降低网络攻击的风险。它适用于跨国、跨地区的庞大业务规模和复杂业务场景,能够帮助企业构建一个安全与业务融合的零信任闭环,提高企业的网络安全防护能力。

一、零信任平台方案

ZTA平台由零信任中心零信任组件服务支撑三部分组成,各部分相互协作,共同实现平台功能。零信任中心包括分析中心控制中心,负责信任等级评估和访问策略控制;零信任组件执行访问控制策略,兼具情报收集和安全防护;服务支撑部分则保障平台持续迭代、安全防御和业务优化,确保业务访问合规安全。

图片

01、零信任控制中心

在ZTA平台中扮演核心角色,负责身份认证管理、应用管理和策略管理。它通过联动信任分析中心和零信任组件,提供全面的控制功能。身份认证管理确保用户、终端等身份的认证和权限管理,应用管理根据访问需求确定安全发布机制,而策略管理则提供动态控制策略以应对不同环境下的访问需求。控制中心通过分析中心的风险评估和信任评估来动态调整访问控制策略,并下发给执行组件实施。

02、零信任分析中心

零信任分析中心为控制中心提供决策支持,通过多源数据综合风险分析,包括用户访问行为和环境信息,以确定访问策略。零信任组件包括SDP代理网关、DGW、SASE-PA网关等,根据不同业务场景执行安全策略。SDP代理网关适用于互联网和远程办公,DGW适合内网办公,而SASE-PA网关适用于跨地区分支机构的云化访问。这些网关各有特点,如SDP代理网关通过代理模式减少暴露面,DGW采用防火墙架构,SASE-PA网关则提供云上的灵活性和安全性。

03、零信任组件

零信任组件包括SDP代理网关、DGW和SASE-PA网关,它们根据不同的业务场景执行安全策略。SDP代理网关适用于互联网和远程办公,通过代理模式减少业务系统暴露,并采用安全措施如SPA技术进行防护DGW适用于内网办公,采用防火墙架构,对内网客户端进行应用级校验。SASE-PA网关适用于跨地区分支机构的云化访问,通过云部署提供灵活的组网和安全的业务访问。每种网关在故障处理和部署特点上有所不同,SDP和DGW需特定恢复措施,而SASE-PA网关则易于部署和扩展,适合云托管场景。

04、零信任平台的落地

传统的网络安全防御体系与业务系统相对独立,主要采用“黑名单”策略。ZTA平台作为一种新型安全架构,与业务需求和安全能力紧密结合,强化“白环境”检测,通过三个阶段逐步构建完整的业务安全防御体系。

第一阶段聚焦远程接入,减少业务暴露面

图片

第二阶段升级内网和分支机构访问安全;

图片

第三阶段深入数据中心内部访问控制

图片

运营阶段需专业团队通过可视化报表和自动化技术,持续提升安全能力,实现动态自适应的安全策略调整。

二、零信任核心技术

01、身份驱动的访问控制

零信任安全访问控制的核心是身份驱动的访问控制,要求流量身份化和先认证后访问。在ZTA平台中,客户端需先完成身份验证才能建立业务连接,与传统远程办公场景相比,减少了业务暴露面和被攻击的风险。SDP代理网关使用SPA技术和隧道技术实现流量身份化和端口隐藏,而DGW场景则通过前置验证包实现应用级鉴权。整个过程分为两个阶段:身份校验和业务连接建立,确保只有验证通过的客户端能访问业务端口。

图片

02、动态访问控制列表(ACL)技术

ZTA平台中的安全策略引擎采用动态ACL技术和两种主流模式:信任评分机制和规则机制。信任评分机制分为配置评分和智能评分,而规则机制通过设定安全策略基线来实现。ZTA平台采用规则+评分的混合模式,以规则为主,评分辅助,遵循“安全有原则,管理有灰度,信任有智慧”的理念。动态ACL考虑时间、位置、应用程序等多种维度,实现细粒度控制。智能评分模式下,零信任中心与终端安全设备联动进行环境评估;规则模式下,通过安全评估与可信进程标签匹配,支持策略差异化。

03、隧道技术

隧道技术通过引流、传输和代理三个关键步骤在传输层面实现安全控制。传统三层引流技术通过虚拟网卡和路由实现引流,具有良好的兼容性,但受网络波动影响较大。三层转四层技术则使用轻量级IP协议栈,将流量从三层转换到四层,通过TCP短连接发送至网关,提高了传输效率,尤其是在大文件传输和下载场景中。

总结:

零信任是一种内生安全模型,通过强调业务“白”化能力与业务深度融合,构建了安全与生产力的平衡。它优先保障业务可用性,并以系统化思维提升业务安全免疫力,为数字化社会提供安全建设方向和“可信”基石。零信任架构是一种保护企业资产的系统和操作设计指南,不是一个单一架构。零信任平台融合多种技术优势,为企业提供业务与安全并行的网络环境,是保障数字化发展的重要途径。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/45793.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue中的Mixins与钩子函数:理解合并与调用

在Vue的开发过程中,mixins是一个非常有用的特性,它允许我们跨多个组件共享可复用的代码。然而,当我们在组件与mixins之间定义同名的钩子函数或方法时,理解它们之间的相互作用和合并机制就显得尤为重要。 在Vue.js中,对…

Reinforement Learning学习记录(五)

前言 最近两周的工作主要是在做方向的探索和相关论文的学习,这次的介绍会分为,项目介绍,论文学习,当前进度,未来计划 项目介绍 最近主要是尝试了两个大类的项目,第一个是视觉追踪,第二个是三维重建 视觉跟踪 视觉追踪的话,参考了这几个开源项目: CoTracker: It i…

手机数据恢复篇:如何从 Android 手机恢复消失的照片

丢失 Android 手机中的照片现在已成为您可能遇到的最糟糕的情况之一。随着手机在相机方面越来越好,即使是那些不热衷于拍照的人也成为了摄影师。 如今,人们可以随时随地拍摄照片,每一张照片都保存着回忆和数据,因此,丢…

变得越来越优秀的方法

反省后看到问题很正常,接纳-行动-改变-能量-帮助-成长变优秀;温和后需要【中庸智慧】灵活处世,不做老好人,须有原则有框架! —— 只有深刻地反省,我们才能真正地认识自己,我们反省后会看到自己…

昇思25天学习打卡营第19天|应用实践之基于MobileNetv2的垃圾分类

基本介绍 今天的应用实践是垃圾分类代码开发,整体流程是读取本地图像数据作为输入,对图像中的垃圾物体进行检测,并且将检测结果图片保存到文件中。采用的是MobileNetv2模型,使用官方提供的数据集,数据集分为4大类&…

python如何与前端交互

文章目录 1. 选择一个 Python Web 框架2. 创建 Web 应用程序3. 编写后端逻辑4. 编写前端代码5. 连接前后端6. 部署和测试扩展Jupyter Notebook Python 与前端(如 HTML, CSS, JavaScript)的关联通常是通过 Web 框架来实现的,这些框架允许 Pyth…

维度的自定义标签:Kylin Cube设计中的元数据支持

维度的自定义标签:Kylin Cube设计中的元数据支持 在数据分析的多维世界中,Apache Kylin的Cube设计提供了强大的灵活性,允许用户根据需求定制化地分析数据。维度的自定义元数据是这一灵活性的体现之一,它允许用户为维度添加额外的…

【MySQL】8.复合查询

复合查询 一.基本查询回顾(新增子查询)二.多表查询三.自连接四.子查询1.单列单行子查询2.单列多行子查询——三个关键字3.多列子查询4.在 from 子句中使用子查询 五.合并查询六.总结 一.基本查询回顾(新增子查询) //1.查询工资高于500或岗位为MANAGER的雇员,同时还…

Python高级(四)_内存管理

Python高级-内存管理 第四章 内存管理 1、对象池 小整数池 系统默认创建好的,等着你使用 概述:整数在程序中的使用非常广泛,Python为了优化速度,使用了小整数对象池,避免为整数频繁申请和销毁内存空间。Python 对小整数的定义是 [-5, 256] ,这些整数对象是提前建立好的…

C语言——循环结构:while、do...while、for

while循环 基本结构 C语言中的while循环是一种基本的循环控制结构,它允许程序重复执行一段代码块,直到指定的条件不再满足为止。while循环的语法结构如下: while (condition) { // 循环体 // 在这里编写要重复执行的代码 } condition …

Avalonia创建导航菜单

1. 简介 已开源,后续还会继续更新学习到的内容,欢迎Star,GitHub地址 开发Avalonia需要的一些资料,我已经分享到另一篇文章 示意图 涉及到内容: MVVM路由模板 开发: 开发工具:Rider&#x…

acnconda虚拟环境管理笔记

虚拟环境 conda create --name photos_com python3.8 conda info --envs activate 环境名 conda install -n 环境名 包名 conda remove --name 环境名 包名 虚拟环境基本操作 下面以例子来说明怎么建立、使用或是删除虚拟环境。比如:想新建一个名为 ‘pytest’ 的虚…

【linux】进程间通信(IPC)——匿名管道,命名管道与System V内核方案的共享内存,以及消息队列和信号量的原理概述

目录 ✈必备知识 进程间通信概述 🔥概述 🔥必要性 🔥原理 管道概述 🔥管道的本质 🔥管道的相关特性 🔥管道的同步与互斥机制 匿名管道 🔥系统调用接口介绍 🔥内核原理 …

C++ QT开发 学习笔记(1)

C QT开发 学习笔记(1) 考试系统 创建项目 新建Qt桌面应用程序,项目名:ExamSys。 类信息:类名LoginDialog继承自QDialog (1) ExamSys.pro 工程文件,包含当前工程的相关信息。 QDialog 是 Qt 框架中用…

二、计划任务

1.什么是计划任务 对于一些特定的任务,可以设定任务,让服务在规定时间去执行 2.windows中的计划任务 打开控制面板》管理工具》任务计划程序》创建基本任务 3.linux中的计划任务 周期性的计划crontab crontab -l :显示当前的计划惹怒我 -e&#…

大健康产业运营模式|大健康行业商业模式|健康管理盈利模式

大家好!今天我们来聊聊如何在大健康行业中选择一个适合自己的商业模式,从保健、医疗、健身、美容、养老等方面快速发展并取得成功。 首先,大健康行业涵盖了很多领域,但最核心的是保健和医疗,这两者是保障大家健康的基础…

通过maven基于springboot项目构建脚手架archetype

1、引入脚手架构建的插件依赖 <!--构建脚手架archetype--><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-archetype-plugin</artifactId><version>3.2.1</version></plugin><plugin><…

从零开始学习嵌入式----自定义函数实现strcpy与strcat功能

目录 一、自定义函数实现strcpy功能&#xff1a; 二、自定义函数实现strcat功能 一、自定义函数实现strcpy功能&#xff1a; #include <stdio.h> void fun(char *p,char *q) {while(*q)*p*q;*p\0; } int main() {char str[32]"";fun(str,"hello");…

【Visual Studio】Visual Studio使用技巧及报错解决合集

目录 目录 一.概述 二.Visual Studio报错问题及解决方法 三.Visual Studio操作过程中遇到的问题及解决方法 四.Visual Studio编译优化选项 五.Visual Studio快捷键 一.概述 持续更新Visual Studio报错及解决方法&#xff0c;包括Visual Studio报错问题及解决方法、Visua…

土壤品质检测仪:守护大地之母的科技卫士

土壤&#xff0c;作为地球生命之源&#xff0c;承载着万物的生长与繁衍。然而&#xff0c;随着现代农业的快速发展&#xff0c;土壤品质问题日益凸显&#xff0c;对农作物的生长和人们的健康构成了潜在威胁。 随着环保意识的增强和农业可持续发展的需求&#xff0c;土壤品质检测…