网络安全架构之零信任安全

网络安全架构之零信任安全

文章目录

  • 网络安全架构之零信任安全
    • 零信任安全时代背景
      • 安全世界“新旧时代”
      • 各种攻击风险层出不穷
      • 网络安全边界逐渐瓦解
      • 内外部威胁愈演愈烈
    • 零信任架构
      • 零信任的理念
      • 在不可信的网络环境下重建信任
      • 构建自适应内生安全机制
        • 以身份为基石
        • 业务安全访问
        • 持续信任评估
        • 动态访问控制
    • 零信任架构实施路径
    • 零信任架构的优势
    • 零信任的常见问题
      • 零信任安全的原则是什么?
      • 零信任模型的最大优势是什么?
      • 如何应用零信任?
    • 总结

随着云计算、大数据等技术广泛应用,远程办公、移动互联等业务快速发展,企业IT技术设施变得越来越多样化,业务系统访问需求越来越复杂,内部员工、供应商人员、外部合作伙伴等可以通过多种方式灵活接入系统,系统之间的互联互通也将被更多的终端访问,企业原有的网络边界逐渐模糊。

零信任安全时代背景

安全世界“新旧时代”

在这里插入图片描述

各种攻击风险层出不穷

在这里插入图片描述

网络安全边界逐渐瓦解

在这里插入图片描述

内外部威胁愈演愈烈

网络安全风险及威胁日益复杂,APT攻击、勒索软件、内部越权操作等新型网络攻击手段层出不穷,让众多企业防不胜防,对其造成了重大的业务损失,而传统的基于边界的网络安全防护手段已难以应对这些潜在的安全威胁。
在这里插入图片描述

零信任架构

零信任理念最早由研究机构Forrester的首席分析师John Kindervag于2010年提出,经过数年的发展演进,已成为网络安全发展的新趋势。其核心思想是坚守“永不信任,始终验证”的原则,打破了网络边界的概念,企业网络内外的任何人、设备和系统都需要进行持续身份验证和动态授权才能够获得对企业资源的细粒度最小化权限。

零信任重新定义流程,假设每位用户在每次交互开始时都不可信。在这个过程中,系统在授予用户访问任何应用程序、数据库或业务资产的权限之前,会自动进行身份验证并检查用户的授权。此外,在使用应用程序和数据时,每位用户的授权状态都会持续接受验证。

重点是用户工作流和易用性。当涉及到性能问题时,理想的框架应该让所有验证进程都在后台快速执行,最大限度地减少对用户的干扰,同时显著增强业务的安全性。

“零信任安全模型”有时可以与类似或相关术语互换,例如零信任架构、零信任网络架构、零可信网络访问或无边界安全。

零信任的理念

在这里插入图片描述

在不可信的网络环境下重建信任

在这里插入图片描述

构建自适应内生安全机制

在这里插入图片描述

以身份为基石

在这里插入图片描述

业务安全访问

在这里插入图片描述

持续信任评估

在这里插入图片描述

动态访问控制

在这里插入图片描述

零信任架构实施路径

在这里插入图片描述

零信任架构的优势

在这里插入图片描述

零信任的常见问题

零信任安全的原则是什么?

零信任的基本原则是“永不信任,持续验证”。零信任架构根据用户的工作岗位和位置、使用的设备以及请求的数据等具体情况,强制执行访问权限控制策略,避免出现违规访问。零信任旨在通过使用强大的身份验证方法、网络分段、防止横向移动和坚持最低访问权限策略来保护现代环境的安全并推动数字化转型。

零信任模型的最大优势是什么?

零信任模型的最大优势是有助于降低业务风险。原因在于应用程序和数据在用户通过身份验证并获准与之交互之前是不可访问且未公开的。如此可以加强对访问权限的控制,组织会重新审视访问授权的合理性,并加强对特定用例中授权持续时间的控制。总体而言,零信任的好处与实施零信任最初遇到的困难相比是利远远大于弊。

如何应用零信任?

在设计零信任架构时,安全团队通常要重点关注两个问题。要保护什么?要免受谁的攻击?明确了问题的答案,安全团队就知道该如何应用零信任了。许多组织分阶段实施零信任,从最关键的资产开始,或者先测试非关键资产,然后将零信任逐步部署到整个网络中。

总结

零信任安全架构的核心基于现代身份管理技术进行构建,增强的身份管理能力具备敏捷、安全、智能的优势。基于敏捷的身份生命周期管理机制,满足企业对内部、外部、客户等不同身份的管理;同时基于智能身份分析和动态访问控制技术,具备对未知风险的防护能力。

但是零信任也可能会带来频繁的身份认证,对用户来说可能就不是特别友好,特别在企业内部对内部资源的访问,频繁的二次认证势必会让很多人反感,如何在保证安全的前提下,有效识别用户身份,提升用户体验满意度,还需要持续的研究和实践。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/841578.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux服务的简介与分类

服务的简介与分类 服务的分类 查询已安装的服务和区分服务 #列出所有rpm包默认安装服务的自启动状态 [rootlocalhost ~]# chkconfig --list atd atd 0:关闭 1:关闭 2:关闭 3:启用 4:启用 5:启用 6:关闭 [rootlocalhost ~]# chkconfig --list sshd sshd …

SpringBoot项目中访问HTML页面

在这种情况下,如果你要访问静态页面,肯定是不能正确访问的:会出现如下错误: 那么,此时,你应该: 静态资源映射: import org.springframework.context.annotation.Configuration; im…

command not found: wire 解决方案【学习笔记,不作教程】

command not found: wire command not found: wire command not found: wire go get github.com/google/wire/cmd/wirego install github.com/google/wire/cmd/wirelatest再次在 /bubble/cmd/bubble目录下执行wire wire wire: bubble/cmd/bubble: wrote /Users/zhengshijie/go…

音视频开发5 补充 - Nginx搭建rtmp流媒体服务器,目的是让ffmpeg 可以直播推流

直播推流 ffmpeg -re -i out.mp4 -c copy flv rtmp://server/live/streamName -re, 表示按时间戳读取文件 参考: Nginx 搭建 rtmp 流媒体服务器 (Ubuntu 16.04) https://www.jianshu.com/p/16741e363a77 第一步 准备工作 安装nginx需要的依赖包 打开 ubutun 终端…

社会网络,生态网络,贸易网络,复杂网络边介数蓄意和随机攻击

​边介数(Edge Betweenness) # ” 边介数(Edge Betweenness) 1 边介数(Edge Betweenness) Summer IS HERE 边介数(Edge Betweenness)是一种度量边在网络中重要性的指标。它定义为…

OpenStack平台Nova管理

1. 规划节点 使用OpenStack平台节点规划 IP主机名节点192.168.100.10controller控制节点192.168.100.20compute计算节点 2. 基础准备 部署的OpenStack平台 1. Nova运维命令 (1)Nova管理安全组规划 安全组(security group)是…

设计模式八股文

什么是设计模式? 设计模式是软件开发过程中经常遇到的问题的通用解决方案。类似于前人总结的经验,遇到相似问题的时候有个参考。 设计模式七大基本原则? 单一职责:一个类应该只作一件事情。将功能分为小的独立的单元。开放封闭…

CTF之Web_python_block_chain

这种题对于我来说只能看大佬的wp(但是这一题是wp都看不懂,只能表达一下我的理解了) (最后有简单方法,前面一种没看懂没关系) 下面这一部分是首页的有用部分 访问/source_code,得到源码: # -*-…

宁夏银川、山东济南、中国最厉害的改名大师的老师颜廷利教授的前沿思想观点

在当代社会,一个响亮的声音穿越了传统的迷雾,它来自东方哲学的殿堂,由一位现代学者颜廷利教授所发出。他的话语,如同一股清泉,在混沌的世界里激荡着思考的波澜:"有‘智’不在年高,无‘智’…

太空几乎没有阻力,飞船理论上能一直加速,为何还说星际旅行很难

太空几乎没有阻力,飞船理论上能一直加速,为何还说星际旅行很难? 答案 现代科学认为,我们的地球诞生于46亿年前,也就是太阳系诞生初期,在太阳系中一共有八大行星,而地球是唯一一颗诞生了生命的…

起保停电路工作原理

一、电路组成 起保停电路由电源保护设备(空气开关)、交流接触器、启动按钮、停止按钮和用电设备组成。 起保停电路的组成部分通常可分为四个部分: 保护部分:(空气开关)在电流或电压超出一定范围时自动切断…

异步获取线程执行结果,JDK中的Future、Netty中的Future和Promise对比

JDK中的Future和Netty中的Future、Promise的关系 三者源头追溯 Netty中的Future与JDK中的Future同名,但是是两个不同的接口。Netty中的Future继承自JDK的Future,而Promise又对Netty中的Future进行了扩展。 JDK中的Future源自JUC并发包: Net…

电商API接口(api商品数据)【电商商品实时数据采集API接口】

众多品牌选择电商API实时数据采集接口进行采购,主要是出于以下几个重要原因: 第一,高效便捷。比价工具通过自动化的方式获取价格信息,避免了繁琐的人工操作,大大节省了时间和精力。 第二,精准比较。API比价…

如何使用ssh将vscode 连接到服务器上,手把手指导

一、背景 我们在开发时,经常是window上安装一个vscode编辑器,去连接一个虚拟机上的linux,这里常用的是SSH协议,了解其中的操作非常必要。 二、SSH协议 SSH(Secure Shell)是一种安全协议,用于…

C#屏蔽基类成员

可以用与积累成员名称相同的成员来屏蔽 要让编译器知道你在故意屏蔽继承的成员,可以用new修饰符。否则程序可以成功编译,但是编译器会警告你隐藏了一个继承的成员 using System;class someClass {public string F1 "Someclass F1";public v…

YOLOv10 | 手把手教你利用yolov10训练自己数据集(含环境搭建 + 参数解析 + 数据集查找 + 模型训练、推理、导出)

一、前言 本文内含YOLOv10网络结构图 各个创新模块手撕结构图 训练教程 推理教程 参数解析 环境搭建 数据集获取等一些有关YOLOv10的内容! 目录 一、 前言 二、整体网络结构图 三、空间-通道分离下采样 3.1 SCDown介绍 3.2 C2fUIB介绍 3.3 PSA介绍 …

微服务下认证授权框架的探讨

前言 市面上关于认证授权的框架已经比较丰富了,大都是关于单体应用的认证授权,在分布式架构下,使用比较多的方案是--<应用网关>,网关里集中认证,将认证通过的请求再转发给代理的服务,这种中心化的方式并不适用于微服务,这里讨论另一种方案--<认证中心>,利用jwt去中…

【数据库基础-mysql详解之索引的魅力(N叉树)】

索引的魅力目录 &#x1f308;索引的概念&#x1f308;使用场景&#x1f308;索引的使用&#x1f31e;&#x1f31e;&#x1f31e;查看MySQL中的默认索引&#x1f31e;&#x1f31e;&#x1f31e;创建索引&#x1f31e;&#x1f31e;&#x1f31e;删除索引 站在索引背后的那个男…

sheng的学习笔记-docker部署Greenplum

目录 docker安装gp数据库 mac版本 搭建gp数据库 连接数据库 windows版本 搭建gp数据库 连接数据库 docker安装gp数据库 mac版本 搭建gp数据库 打开终端&#xff0c;输入代码&#xff0c;查看版本 ocker search greenplum docker pull projectairws/greenplum docker…

Virtual Box安装Ubuntu及设置

Virtual Box安装Ubuntu及设置 本文包含以下内容&#xff1a; 使用Virtual Box安装Ubuntu Desktop。设置虚拟机中的Ubuntu&#xff0c;使之可访问互联网并可通过SSH访问。 Ubuntu Desktop下载 从官网下载&#xff0c;地址为&#xff1a;Download Ubuntu Desktop | Ubuntu U…