未来已来,零信任安全架构时代已经到来
- 分类:行业动态
- 作者:
- 来源:
- 发布时间:2021-03-23
- 访问量:2112
未来已来,零信任安全架构时代已经到来
【概要描述】
大数据时代,互联网江湖复杂而险恶,网络黑暗势力无处不在,即便是在各大知名品牌与企业尽全力做好自身网络防护的情况下,一些网络犯罪份子还是在2020冠状病毒大流行的这一年,抓住全球数亿员工在家远程办公的机会,大肆增加对企业的网络攻击和勒索。让我们来看看2020 年发生了哪些高频数据泄露和网络攻击事件:
2020 年 2 月,雅诗兰黛泄露 4.4 亿用户敏感信息;2020 年 3 月,5.4 亿新浪微博用户数据遭泄露;2020 年 4 月,Zoom 50 多万用户的登录凭证遭黑客窃取;2020 年 5 月,泰国移动运营商泄露 83 亿条用户数据记录;2020 年6 月,甲骨文公司泄露数 10 亿条网络数据记录……
这些数据泄露事件令许多全球知名品牌与企业成为网络攻击的受害者。究其原因主要是由于传统网络安全架构默认内网是安全的,认为网络安全就是边界安全,因此通过在边界部署大量的安全产品如通过防火墙、WAF、IPS、网闸等设备对网络边界进行层层防护,但殊不知灯下黑的道理,只知屯重兵于边界,不重视甚至忽视企业内网的安全,像蜗牛式保护,外壳坚硬而内部柔弱,防外不防内,这样并不能够使用户的网络变得更加安全,据业界调查表明,网络安全事件中高达80%是来源于内网,或者内外勾结。
除此之外,随着信息技术不断更新迭代,云计算、大数据等高新技术也加速发展,而传统网络的边界则逐渐模糊,很多的数据信息操作、访问都是由员工从外部网络访问的,这一点在疫情期间尤为明显,因为疫情原因使得大部分企业员工需要在家办公,这样就少不了需要采用远程办公、线上视频会议等方式进行工作。但当业务与信息化发展融合越紧密,其暴露的风险就越大,人员通过网络访问后台应用系统,如果只依靠防火墙和入侵防御这些措施,只能检测到流量内容的安全性,但对于其身份ID、操作行为却无法鉴别,之前发生的微盟删库跑路事件、微博用户数据泄露就是这些风险的代表。
日益复杂的网络环境不得不对网络安全提出了更高的要求,「零信任」这一概念则是在这一大背景下应运而生,近两年更是成为网络安全的热门词汇。
什么是零信任
零信任安全建立在一个简单的、众所周知的前提之上:不信任网络内部和外部的任何人/设备/系统;不信任传统网络边界保护,而代之以微边界保护。
零信任要求将用户的访问权限限制为完成特定任务所需的最低限度,在组织内部重构以身份为中心的信任体系和动态访问控制体系,建立企业全新的身份边界,即微边界。零信任的关键在于控制对数据的访问权限,而与数据所在的位置无关,与访问发起者的位置无关。
零信任的做法是先信任,后连接,只有通过动态的认证和授权,才可能发起对数据资源的访问连接,这和传统网络安全先连接后信任的方法有主要区别。
零信任产生的原因
传统网络只通过物理位置的方式来判断威胁,但随着“云大物移”不断融入我们的生活,这种由物理上所划分的安全边界将逐步瓦解。
02
信息化安全建设的源头是业务访问者,如果缺少对身份、认证、授权、审计等流程,数据泄露及破坏等事件就会层出不穷。
03
新技术带来便利的同时也带来了安全问题,信息化发展日新月异,安全措施也不能一成不变,需要持续性的优化、改进。
因此,零信任技术成为了解决上述问题的方法。
如何实现零信任
网络中充满了威胁,不论是是外部还是内部,和以前对暗号那样,在没有充分展示可信信息之前,都是不能允许访问资源。
02
对于不同的对象,展示可信信息的方式也大相径庭。例如对于人来说,可信信息包括账号认证、生物特征认证等;对于终端来说,可信信息包括系统安全性检测、系统脆弱性检测等。
03
风险、信任是零信任中最重要的要素,风险代表着访问对象威胁性,信任代表着访问对象安全性。两者判断方式是通过持续性的认证、检测来实现,例如在用户访问信息资源时,当出现异常操作时,进行身份认证。
04
每个访问者遵循最小权限原则,对应用系统的访问操作需要精细化到具体操作步骤,例如请求提交、文档修改。
总之,对于零信任最终实现的方式,可以参考4A,也就是账号、认证、授权、审计这四个功能项。但零信任也不是单纯的4A,而是在其基础上新增了持续性的概念,也就是账号全周期管理、认证、权限操作的持续性检测。
零信任的规划
01
零信任涉及到企业全网系统性改造,包括网络架构、认证方式、系统接口对接,这个工程量是巨大的。
02
开发工作
企业业务场景千变万化,零信任不会是一套标准化的产品,需要与用户需求相贴合,落地实施前会有大量开发工作。
为了更好实现零信任,我们可以将零信任建设分为几个安全节点来分别做规划:
零信任不是单纯的新增身份认证、权限管控的产品,传统安全建设也不应该忽视,例如访问控制类(NGFW类)、业务分析类(APT检测类)、数据加密(VPN类)、数据防泄密(DLP类)。
不仅仅对访问者的身份进行确认,更是对其使用的终端环境等因素进行搜集判断。身份认证可以采用IAM等方式,终端环境判断可以采用EDR、终端桌面管理等方式。
账号不仅仅是用户名+密码的方式,而是通过多种因素进行判断,也就是多因素身份验证(MFA)。可以通过堡垒机、统一应用管理产品来实现。
权限是通过前面身份与账号统一结合后判断的,并且通过持续的监测来判断权限是否合规。可以采用UEBA等方式来实现。
对每个环节产生的日志进行汇总、分析,综合出使用者的信任情况,并将结果反馈给权限控制。可以通过日志审计等方式来实现。
★ 结语 ★
面对频发的数据泄露事件和不断上升的经济损失,企业越来越意识到,如果仅靠现有的安全方法,并不足以应对愈趋严峻的安全态势,因为在传统安全架构设计中,边界防护无法确保内部系统的安全性能,尤其是随着5G、云计算等新兴技术的融入,加剧了边界模糊化、访问路径多样化,造成传统边界防护无从入手。他们需要更好的东西,而零信任安全体系恰好就能给出最好的结果:风险持续预测、动态授权、最小化原则的「零信任」创新性安全思维契合数字基建新技术特点,借助云、网络、安全、AI、大数据的技术发展,着力提升信息化系统和网络的整体安全性,成为网络安全保障体系升级的中流砥柱。
未来已来,零信任安全架构时代已经到来
关于银河集团
银河集团网站登录www是一家以嵌入式技术为背景,提供工业信息安全和工业物联网解决方案的高新技术企业。公司2004年成立,总部位于江苏泰州,在北京、郑州、南京,泰州、深圳设有研发中心。2020年在上海证券交易所科创板成功上市(股票代码688060)。
银河集团网站登录www拥有成熟的基于ARM、PowerPC、MIPS、龙芯、飞腾等嵌入式开发平台,具备FPGA密码卡设计,零信任安全架构,可信计算等核心技术。产品包括:基于可信的工业信息安全设备、加密卡及相关密码组件、基于零信任的边缘计算机及工业物联网方案。在能源电力、交通物流、石油石化、智慧城市等行业,银河集团网站登录www不断为客户提供更好的产品和技术服务,与客户合作共赢,聚创未来。
- 分类:行业动态
- 作者:
- 来源:
- 发布时间:2021-03-23
- 访问量:2112
大数据时代,互联网江湖复杂而险恶,网络黑暗势力无处不在,即便是在各大知名品牌与企业尽全力做好自身网络防护的情况下,一些网络犯罪份子还是在2020冠状病毒大流行的这一年,抓住全球数亿员工在家远程办公的机会,大肆增加对企业的网络攻击和勒索。让我们来看看2020 年发生了哪些高频数据泄露和网络攻击事件:
2020 年 2 月,雅诗兰黛泄露 4.4 亿用户敏感信息;2020 年 3 月,5.4 亿新浪微博用户数据遭泄露;2020 年 4 月,Zoom 50 多万用户的登录凭证遭黑客窃取;2020 年 5 月,泰国移动运营商泄露 83 亿条用户数据记录;2020 年6 月,甲骨文公司泄露数 10 亿条网络数据记录……
这些数据泄露事件令许多全球知名品牌与企业成为网络攻击的受害者。究其原因主要是由于传统网络安全架构默认内网是安全的,认为网络安全就是边界安全,因此通过在边界部署大量的安全产品如通过防火墙、WAF、IPS、网闸等设备对网络边界进行层层防护,但殊不知灯下黑的道理,只知屯重兵于边界,不重视甚至忽视企业内网的安全,像蜗牛式保护,外壳坚硬而内部柔弱,防外不防内,这样并不能够使用户的网络变得更加安全,据业界调查表明,网络安全事件中高达80%是来源于内网,或者内外勾结。
除此之外,随着信息技术不断更新迭代,云计算、大数据等高新技术也加速发展,而传统网络的边界则逐渐模糊,很多的数据信息操作、访问都是由员工从外部网络访问的,这一点在疫情期间尤为明显,因为疫情原因使得大部分企业员工需要在家办公,这样就少不了需要采用远程办公、线上视频会议等方式进行工作。但当业务与信息化发展融合越紧密,其暴露的风险就越大,人员通过网络访问后台应用系统,如果只依靠防火墙和入侵防御这些措施,只能检测到流量内容的安全性,但对于其身份ID、操作行为却无法鉴别,之前发生的微盟删库跑路事件、微博用户数据泄露就是这些风险的代表。
日益复杂的网络环境不得不对网络安全提出了更高的要求,「零信任」这一概念则是在这一大背景下应运而生,近两年更是成为网络安全的热门词汇。
什么是零信任
零信任安全建立在一个简单的、众所周知的前提之上:不信任网络内部和外部的任何人/设备/系统;不信任传统网络边界保护,而代之以微边界保护。
零信任要求将用户的访问权限限制为完成特定任务所需的最低限度,在组织内部重构以身份为中心的信任体系和动态访问控制体系,建立企业全新的身份边界,即微边界。零信任的关键在于控制对数据的访问权限,而与数据所在的位置无关,与访问发起者的位置无关。
零信任的做法是先信任,后连接,只有通过动态的认证和授权,才可能发起对数据资源的访问连接,这和传统网络安全先连接后信任的方法有主要区别。
零信任产生的原因
传统网络只通过物理位置的方式来判断威胁,但随着“云大物移”不断融入我们的生活,这种由物理上所划分的安全边界将逐步瓦解。
02
信息化安全建设的源头是业务访问者,如果缺少对身份、认证、授权、审计等流程,数据泄露及破坏等事件就会层出不穷。
03
新技术带来便利的同时也带来了安全问题,信息化发展日新月异,安全措施也不能一成不变,需要持续性的优化、改进。
因此,零信任技术成为了解决上述问题的方法。
如何实现零信任
网络中充满了威胁,不论是是外部还是内部,和以前对暗号那样,在没有充分展示可信信息之前,都是不能允许访问资源。
02
对于不同的对象,展示可信信息的方式也大相径庭。例如对于人来说,可信信息包括账号认证、生物特征认证等;对于终端来说,可信信息包括系统安全性检测、系统脆弱性检测等。
03
风险、信任是零信任中最重要的要素,风险代表着访问对象威胁性,信任代表着访问对象安全性。两者判断方式是通过持续性的认证、检测来实现,例如在用户访问信息资源时,当出现异常操作时,进行身份认证。
04
每个访问者遵循最小权限原则,对应用系统的访问操作需要精细化到具体操作步骤,例如请求提交、文档修改。
总之,对于零信任最终实现的方式,可以参考4A,也就是账号、认证、授权、审计这四个功能项。但零信任也不是单纯的4A,而是在其基础上新增了持续性的概念,也就是账号全周期管理、认证、权限操作的持续性检测。
零信任的规划
01
零信任涉及到企业全网系统性改造,包括网络架构、认证方式、系统接口对接,这个工程量是巨大的。
02
开发工作
企业业务场景千变万化,零信任不会是一套标准化的产品,需要与用户需求相贴合,落地实施前会有大量开发工作。
为了更好实现零信任,我们可以将零信任建设分为几个安全节点来分别做规划:
零信任不是单纯的新增身份认证、权限管控的产品,传统安全建设也不应该忽视,例如访问控制类(NGFW类)、业务分析类(APT检测类)、数据加密(VPN类)、数据防泄密(DLP类)。
不仅仅对访问者的身份进行确认,更是对其使用的终端环境等因素进行搜集判断。身份认证可以采用IAM等方式,终端环境判断可以采用EDR、终端桌面管理等方式。
账号不仅仅是用户名+密码的方式,而是通过多种因素进行判断,也就是多因素身份验证(MFA)。可以通过堡垒机、统一应用管理产品来实现。
权限是通过前面身份与账号统一结合后判断的,并且通过持续的监测来判断权限是否合规。可以采用UEBA等方式来实现。
对每个环节产生的日志进行汇总、分析,综合出使用者的信任情况,并将结果反馈给权限控制。可以通过日志审计等方式来实现。
★ 结语 ★
面对频发的数据泄露事件和不断上升的经济损失,企业越来越意识到,如果仅靠现有的安全方法,并不足以应对愈趋严峻的安全态势,因为在传统安全架构设计中,边界防护无法确保内部系统的安全性能,尤其是随着5G、云计算等新兴技术的融入,加剧了边界模糊化、访问路径多样化,造成传统边界防护无从入手。他们需要更好的东西,而零信任安全体系恰好就能给出最好的结果:风险持续预测、动态授权、最小化原则的「零信任」创新性安全思维契合数字基建新技术特点,借助云、网络、安全、AI、大数据的技术发展,着力提升信息化系统和网络的整体安全性,成为网络安全保障体系升级的中流砥柱。
未来已来,零信任安全架构时代已经到来
关于银河集团
银河集团网站登录www是一家以嵌入式技术为背景,提供工业信息安全和工业物联网解决方案的高新技术企业。公司2004年成立,总部位于江苏泰州,在北京、郑州、南京,泰州、深圳设有研发中心。2020年在上海证券交易所科创板成功上市(股票代码688060)。
银河集团网站登录www拥有成熟的基于ARM、PowerPC、MIPS、龙芯、飞腾等嵌入式开发平台,具备FPGA密码卡设计,零信任安全架构,可信计算等核心技术。产品包括:基于可信的工业信息安全设备、加密卡及相关密码组件、基于零信任的边缘计算机及工业物联网方案。在能源电力、交通物流、石油石化、智慧城市等行业,银河集团网站登录www不断为客户提供更好的产品和技术服务,与客户合作共赢,聚创未来。