重塑网络安全格局:零信任安全架构的崛起与革新

零信任安全架构是一种现代安全模式,其设计原则是“绝不信任,始终验证”。它要求所有设备和用户,无论他们是在组织网络内部还是外部,都必须经过身份验证、授权和定期验证,才能被授予访问权限。简而言之,“零信任”就是“在验证之前不要相信任何人”。

图片

与传统安全不同,零信任安全架构认为网络是不可信任的,把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面,采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。

零信任安全架构的应用场景包括但不限于:企业网络、云计算环境、移动设备、远程办公和远程访问、供应链安全、物联网(IoT)设备安全、应用程序安全和数据安全。本文将对零信任安全落地实践发展趋势进行介绍。

John Kindervag于2010年提出了最初的零信任模型。作为Forrester Research的首席分析师,Kindervag意识到,传统的访问模式基于过时的假设,即企业应该信任其网络内的一切。当时的想法是,基于外围的安全(即防火墙)足以验证用户访问并完全确保网络安全。但是,随着越来越多的员工开始通过各种类型的设备和各种连接远程访问系统,这种信任结构被证明不足以有效管理分布式员工。

图片

与此同时,谷歌创建了BeyondCorp,用于将传统的VPN访问策略迁移到一种新的基础架构,在这种基础架构中,没有任何系统是可信的,所有端点都对访问进行控制和监控。通过将访问权限控制措施从网络边界转移至具体的用户,BeyondCorp旨在让每个员工都能在不借助VPN的情况下通过不受信任的网络工作。BeyondCorp支持单点登录、访问权限控制政策、访问代理,以及基于用户和设备的身份验证和授权。BeyondCorp遵循以下准则:发起连接时所在的网络不能决定对服务的访问权限;根据用户及其设备的上下文因素授予服务访问权限;对服务的所有访问都必须通过身份验证、获得授权并经过加密。

图片

思科则使用图示架构来实现安全且不依赖VPN的内部以及SaaS应用访问,首先通过多因子认证(MFA)来验证对于用户以及设备的信任,再使用单点登录(SSO)连接到公司部署的网关,与此同时根据持续的风险探测进行信任评估,动态调整用户对各个应用的接入权限。

图片

Akamai的零信任架构包含以下几个组件:零信任网络访问(ZTNA)、云访问安全代理(CASB)、安全Web网关(SWG)以及微隔离。ZTNA根据用户及其设备的身份验证结果及时间、位置、设备安全状况等多种属性来给予其适当的信任级别,进而授予访问权限;在云端构建的身份感知代理确保在远离数据中心的边缘完成所有身份验证,进入应用程序的敏感进入路径使用了反向应用程序隧道,去除了边界的IP可见性,降低了流量攻击的风险;SWG则具有DNS检查、URL检查、负载分析、威胁监控等能力;软件定义的微隔离能够提供网络分段以及应用程序层分段,只需要部署软件就能快速轻松地锁定关键应用程序,仅允许通过特定端口和进程进行通信,在遭受恶意攻击时保护重要资产。

图片

派拓的安全访问服务边缘(SASE)解决方案将ZTNA、云SWG、CASB、防火墙即服务(FWaaS)、软件定义广域网络(SD-WAN)整合到云交付平台中。ZTNA通过精细的访问控制安全地连接所有用户和所有应用,精确控制应用和子应用级别的访问,为相关对象授予应用的访问权限之后,系统将持续监控这些对象的可信度,以便识别设备状态、用户行为、应用行为等方面的变化,并通过数据泄露防护策略对所有应用提供一致的安全性;云SWG通过静态分析和机器学习抵御基于Web的威胁;CASB有助于企业安全使用SaaS应用,还提供主动可视性、实时数据保护;SD-WAN支持通过灵活的部署选项启用云交付分支机构。

图片

Fortinet的SASE解决方案为混合办公场景的用户提供一致的安全状态,AI驱动的SWG、ZTNA、CASB、FWaaS和SD-WAN均由一个操作系统承载运行,并且都可以通过统一的控制台进行管理。它集成了云交付的SD-WAN连接和云交付的安全服务边缘(SSE),将网络和安全的融合从网络边缘扩展到混合办公的用户,支持从任何地方安全访问网络、云和应用程序。

根据Gartner的调查报告《Market Guide for Zero Trust Network Access》显示,基于代理的ZTNA越来越多地被部署为更大的SASE架构的一部分,以取代传统上用于应用程序远程访问的VPN。零信任并不是某一种产品,而是一种全方位的策略,没有一种单独的产品能让企业实现零信任,但随着技术的进步和行业的整合,据Gartner在《Predicts 2022: Consolidated Security Platforms Are the Future》报告中预测:“到 2025 年,80% 的企业将采用这样一种策略,即通过一家供应商的安全服务边缘(SSE)平台统一Web、云服务和私有应用程序访问。”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/648205.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Dockerfile里ADD * 保留原来的目录结构

1、问题 给新模块写Dockerfile,很多静态资源分散在各个目录,于是Dockerfile里我直接一句: ADD ./* /dest/镜像出来后,启动容器,进入容器种后发现:文件拷贝成功,但原来的目录结构都不在了&…

【网站项目】基于SSM的251国外摇滚乐队交流和周边售卖系统

🙊作者简介:拥有多年开发工作经验,分享技术代码帮助学生学习,独立完成自己的项目或者毕业设计。 代码可以私聊博主获取。🌹赠送计算机毕业设计600个选题excel文件,帮助大学选题。赠送开题报告模板&#xff…

用javadoc生成springboot的文档

概述:生成 Spring Boot 项目的 JavaDoc 文档与生成普通的 Java 项目类似。 目录 第一步:创建一个springboot项目 第二步:编写pom文件 第三步:运行 Maven 命令生成 JavaDoc 第四步:查看结果 第一步:创建…

AG32VF407 AGRV2K 串口printf调试输出

视频讲解 [AG32VF407]国产MCUFPGA 串口printf调试输出及演示 原理图 测试代码 新建一个platformio工程,复制如下文件到测试工程目录下 E:\tech\AGM-AG32VF\sdk-release\AgRV_pio\platforms\AgRV\boards\agrv2k_407\board.asf E:\tech\AGM-AG32VF\sdk-release\AgRV_…

RCD负载箱的未来发展趋势和创新技术有哪些?

随着科技的不断发展,RCD负载箱作为电力系统中的重要设备,其未来发展趋势和创新技术也将不断涌现。以下是一些可能的发展趋势和创新技术: 1. 智能化:未来的RCD负载箱将更加智能化,能够实现远程监控、故障诊断和自动调节…

Pyside6在Pycharm下安装和使用

目录 一:安装 二:使用 一:安装 打开Pycharm编辑器,file-setting里Python解释器,点击小号,添加模块,搜索Pyside6,安装 安装报错,可能是默认的库安装超时,用其他的源 p…

Mybatis----分页

1.什么是分页 分页(Pagination)是指将大量数据划分为多个页面进行展示的一种技术手段。在数据量较大的情况下,将所有数据一次性显示在页面上会导致加载时间过长和页面过于庞大,影响用户体验和系统性能。分页技术通过划分数据为多…

为何外贸公司应该采用CRM客户管理软件?

在外贸行业中,客户关系管理尤为关键。在当下的大数据背景下,所有规模的外贸公司都迫切地需要进行数字化改造。无论是大型公司还是小型业务,他们都希望通过深入分析客户数据,为用户提供更优的体验,并据此调整企业战略。…

Scrum框架的自组织团队

飞行在天空中的鸟群一会排成一个“一”字,一会排成一个“人”字,它们自由飞翔,又根据不同的风向排列不同的队形减少阻力,达到最高的飞行效率。人类社会中也如此,没有一种不需要调整的通用方法可以适用于所有的工作场景…

【开源】基于JAVA+Vue+SpringBoot的民宿预定管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块2.1 用例设计2.2 功能设计2.2.1 租客角色2.2.2 房主角色2.2.3 系统管理员角色 三、系统展示四、核心代码4.1 查询民宿4.2 新增民宿4.3 新增民宿评价4.4 查询留言4.5 新增民宿订单 五、免责说明 一、摘要 1.1 项目介绍 基于…

应急响应-Linux-文件痕迹排查

敏感目录 Linux系统铭感目录如下。 /tmp /tmp目录和命令目录/usr/bin /usr/sbin等经常作为恶意软件下载根目录及相关文件被替换的目录。文件名为crloger8的木马下载到/tmp目录下,如图所示 ~/.ssh及/etc/ssh 需要查看是否存在.ssh或者ssh文件 ls -la /home/on…

力扣354. 俄罗斯套娃信封问题

动态规划 思路: 同时控制 w、h 两个维度比较复杂,可以先固定一个维度,来找出另外一个维度的严格单调序列: 对 w 排序,然后再来找 h 维度严格单调递增序列长度;在 w 排序时,会遇到 w(i) w(j) 的…

JWT登录

JWT JSON Web Token(JSON Web令牌) 是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任,因为它是数字签名的。jwt可以使用秘密〈使用HNAC算法…

Spyder安装与使用

Spyder是一个Python的集成开发环境(IDE),由科学家、工程师和数据分析师设计。它提供了强大的编辑、调试和分析功能,以及数据探索和可视化工具,特别适合科学计算和数据分析。 Spyder的主要特点包括: 编辑器…

央视推荐的护眼灯是哪款?护眼灯品牌推荐

可能有些父母没有深入考虑过这样的问题:“台灯这东西只是照明,亮就可以了”、“黄光或者白光都行,孩子能看清书本就行”等类似的声音我也听一些朋友说过。但是科技社会带来的改变是全方位提升,学习台灯自然不例外。 今天就给大家分…

JAVA_EE_api_中英文对照版

点击即可下载: JAVA_EE_api_中英文对照版

RockChip DRM Display Driver

资料来源: 《Rockchip_DRM_Display_Driver_Development_Guide_V1.0.pdf》 《Rockchip_Developer_Guide_DRM_Display_Driver_CN.pdf》 一:DRM概述 DRM(Direct Rendering Manager)直接渲染管理,buffer分配,帧缓冲。对应userspace库位libdrm,libdrm库提供了一系列友好的…

儿童护眼台灯哪个牌子好?高端儿童护眼灯品牌推荐

科技的快速发展使我们的生活与电子设备密不可分,不论是学习、工作还是娱乐,我们都离不开这些电子产品。然而,长时间使用电子设备往往会引发眼睛疲劳、干涩等问题,因此,选择一款优质的护眼台灯显得尤为重要。 ①护眼台灯…

Git笔记:常用使用Git命令+使用Git关联本地仓库和远程仓库操作步骤

Git 分布式版本控制系统 常用Git命令 创建一个管理代码的文件目录右键Git Bath打开完成配置信息,输入个人用户名、邮件信息 git config --global user.name 用户名 git config --global user.email 邮箱地址初始化仓库 git init: 初始化仓库 文件目录里会出现一个…

Springfox Swagger3从入门案例

首先&#xff0c;在pom.xml中添加依赖&#xff1a; <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>io…