网络安全零信任学习2:零信任概念

《白话零信任》第2章:
零信任假设最坏的情况已经发生,一切都不可信,在此基础上执行
最严格的动态持续认证和访问控制策略。
(1)网络不可信:网络始终充满威胁,内网与外网没有不同,网络
是不可信的。
(2)设备不可信:网络中的设备不都是公司管控的设备,未经检测
的设备是不可信的。
(3)系统不可信:漏洞是修不完的,系统一定存在未修复的漏洞。
(4)人不可信:内部员工不一定可靠。
(5)随时假设你的网络已经被入侵了
零信任的原则可以帮助企业更好地理解零信任理念的细节。
(1)从不信任,始终验证。
a)默认拒绝一切,在进行严格的身份验证和授权之前,不允许访问
任何资源。
b)无论什么类型的用户和资源,无论处于什么位置,都必须遵守统
一的安全访问原则。
c)无论处于什么网络环境,都要进行端到端的通信加密。
(2)授权以身份和数据为中心,不以网络为中心。
(3)动态授权。
a)在每次访问之前,都必须基于每个连接进行认证和授权。
b)持续评估访问中的信任等级,根据环境和信任等级变化,实时动
态调整访问权限。
c)资源的访问和操作权限可以根据资源/数据的敏感性而变化。
d)根据策略的定义和执行方式,可能进行二次身份认证和重新授
权。
(4)信任评估应该基于尽可能多的数据源。
a)综合评估用户身份、认证强度、设备状态、业务类型、资源级
别、位置时间等因素。
b)检查用户的访问行为、会话时间、带宽消耗,及时发现异常行
为。
c)检查流量内是否存在敏感数据泄露,是否存在恶意代码。
d)对特权账号要进行额外的审查。
(5)对用户进行最小化授权。
a)只在刚刚好的时间内,提供恰好足够的权限。
b)区分同一网络资源上的不同应用,尽量只授予应用访问权限,不
授予网络访问权限。
(6)持续监控,确保用户设备和业务系统一直处于安全状态。
a)区分用户自带设备和公司管控设备。
b)自动检测和修复不安全的配置和漏洞。
(7)网络隐身。
a)消除公司内部的业务系统和服务在互联网上的可见性。
b)网络连接是一种权限,如果用户无权访问某资源,则他不能在网
络层连接该资源。
c)基于身份进行网络权限的访问控制。
(8)为用户提供无缝的访问体验。
a)当用户切换网络时,不用重新建立连接。
b)当用户访问不同环境中的资源时,不用重新建立连接。
(9)收集尽量多的网络和流量信息,统一分析。

对零信任的几个误解:

(1)零信任架构不是完全摒弃已有技术另起炉灶。零信任架构中的
许多概念和想法已经存在和发展了很长时间,可以说零信任架构是
这些网络安全思想的演进。
(2)零信任不仅是一种思路,更是一系列技术的合集。很多人会望
文生义,认为零信任就是什么都不信任。其实,在行业内提到零信
任时一般更多指SDP架构、微隔离、AI信任评估、终端沙箱、新一代
IAM等伴随零信任而出现的新技术。
(3)零信任架构不是抛弃传统的安全边界。零信任架构不再将网络
因素作为绝对的判断标准,只是将其作为考虑的因素之一。将网络
与身份、设备等环境信息结合,进行综合评估,依据结果进行访问
控制。
(4)零信任架构不是没有边界。有人说零信任是“无边界”,实际
上零信任架构只是没有明显的物理边界,而是部署动态的、虚拟的
软件边界。
(5)零信任架构与传统的安全产品之间不是泾渭分明的。有观点认
为零信任架构只负责基于身份的安全访问,对于其他攻击的防护只
能依赖传统的安全产品。实际上,零信任架构是近年来少见的整体
安全架构。从Forrester到NIST,都是从零信任的角度对网络和安全
进行整体重构的,其中包含了对传统安全措施的整合和改造。笔者
甚至认为未来一切安全产品都会装一个零信任的“内核”。
(6)零信任并不代表零风险。实际上,任何产品的风险都不可能被
完全消除。零信任的理念是通过整体架构,层层打造纵深防御系
统,逐级降低攻击的成功率,减少安全事故造成的损失。

零信任的风险及应对措施
1)零信任的访问代理(策略执行点)可能成为单点故障:一个点
断了,整个网络都断了。因此,必须考虑高可用机制和紧急逃生机
制。
(2)零信任的访问代理可能造成性能延迟。特别是对于分布式、大
规模的场景,要考虑多POP点的架构,而且一定要做性能测试。
(3)零信任的访问代理会保护整个网络,但它本身会成为攻击的焦
点。而且零信任系统要汇聚多源数据进行综合分析,这些存储在零
信任系统中的数据价值巨大,也容易变成攻击者的目标。所以零信
任系统必须具备一定抵抗攻击的能力。
(4)零信任的访问代理具备网络隐身能力,可以提高对抗DDoS攻击
的效率,但如果攻击方用大量“肉鸡”(也称傀儡机,指可以被黑
客远程控制的机器)将带宽占满,那么零信任访问代理也是无能为
力的,只能通过流量清洗、带宽扩容等手段解决。
(5)零信任方案包括应用层的转发和校验环节,因此可能存在与业
务系统的兼容问题。应当尽量在零信任方案建设的早期发现并解决
这类问题。
(6)零信任建设涉及各方面的对接,需要考虑建设路线和成本问
题。零信任的建设一般要考虑与业务系统、用户身份、安全分析平
台的对接,以及与现有网络安全设备的协同。否则零信任的加密通
信策略可能影响原有的流量分析体系。
(7)零信任的信任评估及风险分析算法可能存在误报。企业应当不
断积累训练数据,根据业务自身的特征,对分析模型进行持续调
优。
(8)安装零信任客户端可能导致用户学习成本增加。在建设零信任
架构时,需要考虑为非管控设备和无法进行强制要求的第三方用户
提供无端的接入方式,或者尽量提供无感知的终端体验。
(9)采取单一厂商解决方案会导致供应商锁定问题,可以考虑将多
个产品集成。例如,将资源访问和身份认证模块分开采购。
(10)如果采用云形式的零信任架构,则需要考虑第三方的服务等
级协议(SLA)、可靠程度、可能存在的数据泄露问题等。
(11)零信任也无法突破安全能力的极限。如果用户的账号和密码
被窃取,那么零信任系统发现之后会进行短信认证和设备认证。如
果攻击者将用户的手机、计算机、账号和密码、证书等信息都窃取
了,而且绕过了零信任系统的异常行为检测,零信任就无能为力
了。同样的道理,零信任的终端沙箱可以禁止用户将敏感文件从安
全区拷走。但如果有复制权限的用户故意将文件泄露,或者有管理
员故意做了不安全的配置,那么零信任系统也只能审计,无法阻
拦。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/9231.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

有刷电机、无刷电机

阅读引言: 最近在备赛, 自己之前虽然用过电机, 但是发现在一些高要求的应用场景, 发现自己对电机的知识理解得不是很透彻, 所以写下这篇文章。 目录 一、 有刷电机内部原理 二、有刷电机一些关键参数 三、无刷电机内…

2024OD机试卷-英文输入法 (java\python\c++)

题目:英文输入法 题目描述 主管期望你来实现英文 输入法 单词联想功能。 需求如下: 依据用户输入的单词前缀,从已输入的英文语句中联想出用户想输入的单词,按字典序输出联想到的单词序列, 如果联想不到,请输出用户输入的单词前缀。 注意: 英文单词联想时,区分大小写缩…

机器学习初学者 6 个核心算法!建议收藏,反复观看!

今天再来介绍机器学习算法的基本概念和适用场景! 首先,引用一句英国统计学家George E. P. Box的名言:All models are wrong, but some are useful. 没有哪一种算法能够适用所有情况,只有针对某一种问题更有用的算法。 也就是说&…

STM32理论 —— μCOS-Ⅲ(新)

文章目录 1. 任务调度器1.1 抢占式调度 μCos-Ⅲ全称是Micro C OS Ⅲ,由Micriμm 公司发布的一个基于C 语言编写的第三代小型实时操作系统(RTOS); RTOS 与裸机相比最大的优势在于多任务管理与实时性,它提供了多任务管理和任务间通信的功能&a…

scala案例-- 九九乘法表

要求&#xff1a;打出九九乘法表 object test {def main(args: Array[String]): Unit {for (i <- 1 to 9) { //外循环控制行数for (j <- 1 to i) { //内循环控制列数print(s"${j} * ${i} ${i j}\t")}println()}} }结果&#xff1a; 1 * 1 2 1 * 2 …

一文玩转Vue3参数传递——全栈开发之路--前端篇(8)

全栈开发一条龙——前端篇 第一篇&#xff1a;框架确定、ide设置与项目创建 第二篇&#xff1a;介绍项目文件意义、组件结构与导入以及setup的引入。 第三篇&#xff1a;setup语法&#xff0c;设置响应式数据。 第四篇&#xff1a;数据绑定、计算属性和watch监视 第五篇 : 组件…

电脑桌面定时提醒软件 有定时提醒功能的软件有哪些

对于很多上班族来说&#xff0c;在电脑、手机上使用一款定时提醒软件&#xff0c;是非常有必要的。一款定时提醒软件能让我们对即将进行的工作一目了然&#xff0c;防止遗漏或错过重要事务。其次&#xff0c;通过设定提醒&#xff0c;我们可以更好地安排自己的时间&#xff0c;…

基于springboot实现医院药品管理系统项目【项目源码+论文说明】

基于springboot实现医院药品管理系统演示 摘要 身处网络时代&#xff0c;随着网络系统体系发展的不断成熟和完善&#xff0c;人们的生活也随之发生了很大的变化&#xff0c;人们在追求较高物质生活的同时&#xff0c;也在想着如何使自身的精神内涵得到提升&#xff0c;而读书就…

图书管理系统c语言

创建一个图书管理系统是一个涉及数据结构和文件操作的项目。在C语言中&#xff0c;你可以使用结构体来表示图书信息&#xff0c;使用函数来实现系统的各项功能。以下是一个简单的图书管理系统的示例&#xff0c;包括基本的添加、显示、查找和删除图书的功能。 1. 定义图书结构…

社交媒体数据恢复:新浪微博

当我们在使用新浪微博时&#xff0c;可能会遇到一些意外情况&#xff0c;如误删微博、账号出现问题等。这时&#xff0c;我们需要进行数据恢复。本文将详细介绍如何在新浪微博中进行数据恢复。 首先&#xff0c;我们需要了解新浪微博的数据恢复功能。根据微博的帮助中心&#…

Android11 InputManagerService启动流程分析

InputManagerService在systemserver进程中被启动 //frameworks\base\services\java\com\android\server\SystemServer.java t.traceBegin("StartInputManagerService"); inputManager new InputManagerService(context);//1 t.traceEnd(); //省略 //注册服务 Servi…

Spring Data JPA进行数据库操作

使用Spring Data JPA进行数据库操作涉及几个关键步骤&#xff0c;包括配置、定义实体类、创建仓库接口以及执行具体的数据库操作。以下是详细的过程&#xff1a; 1. 添加依赖 首先&#xff0c;在项目的pom.xml文件中添加Spring Data JPA的依赖&#xff1a; <dependencies…

socket实现TCP UDP

1、socket通信建立流程 1.1、创建服务端流程 使用 socket 函数来创建 socket服务。 使用 bind 函数绑定端口。 使用 listen 函数监听端口。 使用 accept 函数接收客户端请求。 1.2、创建客户端流程 使用 socket 函数来创建 socket 服务。 使用 connect 函数连接到 socke…

基于springboot+jsp+Mysql的商务安全邮箱邮件收发

开发语言&#xff1a;Java框架&#xff1a;springbootJDK版本&#xff1a;JDK1.8服务器&#xff1a;tomcat7数据库&#xff1a;mysql 5.7&#xff08;一定要5.7版本&#xff09;数据库工具&#xff1a;Navicat11开发软件&#xff1a;eclipse/myeclipse/ideaMaven包&#xff1a;…

【C++ STL 容器】map 和 set 详解

文章目录 1.什么是关联式容器呢&#xff1f;2.键值对的定义 1.什么是关联式容器呢&#xff1f; &#x1f34e;① vector、list、deque、forward_list(C11)等&#xff0c;这些容器统称为序列式容器&#xff0c;因为其底层为线性序列的数据结构&#xff0c;里面存储的是元素本身…

【强训笔记】day16

NO.1 代码实现&#xff1a; class StringFormat { public:string formatString(string A, int n, vector<char> arg, int m) {string ret;int j0;for(int i0;i<n;i){if(A[i]%){if(i1<n&&A[i1]s){retarg[j];i;}else {retA[i];}}else {retA[i];}}while(j&l…

设计模式之拦截过滤器模式

想象一下&#xff0c;在你的Java应用里&#xff0c;每个请求就像一场冒险旅程&#xff0c;途中需要经过层层安检和特殊处理。这时候&#xff0c;拦截过滤器模式就化身为你最可靠的特工团队&#xff0c;悄无声息地为每一个请求保驾护航&#xff0c;确保它们安全、高效地到达目的…

小白必看:数据防泄密软件介绍|安在云和Ping32对比?

在当今数字化时代&#xff0c;数据防泄密软件已经成为企业和组织不可或缺的重要工具。随着信息技术的发展&#xff0c;企业面临着越来越多的网络安全威胁&#xff0c;数据泄露事件也屡见不鲜。数据防泄密软件的出现&#xff0c;为企业提供了有效的解决方案。 一、数据防泄密软…

wlan二层旁挂组网实验

实验拓扑图 代码&#xff1a; SW1 <Huawei>sys Enter system view, return user view with CtrlZ. [Huawei]sysn sw1 [sw1]undo info-center enable Info: Information center is disabled. [sw1]vlan batch 10 20 30 Info: This operation may take a few seconds. …

Linux网络——自定义序列化与反序列化

前言 之前我们学习过socket之tcp通信&#xff0c;知道了使用tcp建立连接的一系列操作&#xff0c;并通过write与read函数能让客户端与服务端进行通信&#xff0c;但是tcp是面向字节流的&#xff0c;有可能我们write时只写入了部分数据&#xff0c;此时另一端就来read了&#x…