在互聯(lián)網(wǎng)時代，數(shù)據(jù)泄露和網(wǎng)絡攻擊事件日益增多，數(shù)據(jù)安全是急需解決的問題。傳統(tǒng)的網(wǎng)絡安全策略一般是通過防御外部威脅來保護網(wǎng)絡，而零信任（Zero Trust）技術則更能應對多樣化的風險。下面我們就來了解一下零信任技術。

零信任技術簡介

零信任是一種網(wǎng)絡安全框架，其核心思想是在網(wǎng)絡環(huán)境中實現(xiàn)對身份認證的嚴格控制和實時監(jiān)測，不論用戶是否在企業(yè)網(wǎng)絡內(nèi)部或外部都被視為潛在的安全威脅。

在零信任體系下，任何連接企業(yè)資源的用戶和設備都需要經(jīng)過認證、授權和訪問控制等多重層級的安全策略審批和身份驗證流程才能夠訪問敏感數(shù)據(jù)或網(wǎng)絡資源。這使得攻擊者在進入網(wǎng)絡后仍需要進行認證和授權，從而減少了網(wǎng)絡面臨的安全威脅。

零信任技術的原理

零信任框架不再假設內(nèi)部網(wǎng)絡是可信的，而將網(wǎng)絡中的每個組件都視為不可信的。

零信任框架的目標是通過對所有網(wǎng)絡流量進行驗證和授權，確保只有經(jīng)過身份驗證和授權的用戶和設備才能訪問網(wǎng)絡資源。

零信任框架通過多重層次的安全機制來保護網(wǎng)絡，包括了認證、授權、驗證和細粒度的訪問控制。

零信任技術的基本原則

以身份為中心進行訪問控制

零信任網(wǎng)絡中，所有參與者的身份構成信任關系的基礎，參與者包括用戶、終端設備、軟件應用等。通過零信任實現(xiàn)一種基于實體身份而不是網(wǎng)絡位置的訪問控制體系。

遵循最小特權原則

零信任要求按需分配系統(tǒng)資源，只授予訪問主體完成任務需要的最小權限。

動態(tài)實時更新訪問策略

對主體的身份信息、權限集合、信任等級、系統(tǒng)環(huán)境等因素進行分析，從而形成訪問策略。在實施過程中，若檢測到授權決策依據(jù)發(fā)生改變，則及時更新授權決策。

持續(xù)進行信任評估

主體信任值作為零信任授權判決的關鍵依據(jù)之一，需要根據(jù)用戶身份、行為、權限和訪問日志等多源信息計算得到。數(shù)據(jù)可靠性和信任評估準確性隨著參與計算的數(shù)據(jù)種類的增加而提高。在不同的應用場景下，選擇不同的信任評估策略，提高計算效率。

零信任技術的過程

以七層網(wǎng)絡零信任框架為例，主要過程如下：

轉發(fā)請求

把業(yè)務系統(tǒng)的域名DNS對應到七層網(wǎng)關的IP或域名，七層網(wǎng)關收到用戶的訪問請求后，通過數(shù)據(jù)包中的域名信息識別出用戶的訪問目標。

然后判斷請求的合法性，將合法請求轉發(fā)給業(yè)務系統(tǒng)的真實服務器，并將返回的數(shù)據(jù)按原路發(fā)給用戶。

獲取身份

客戶端請求中存在cookie或token，七層網(wǎng)關會提取這些信息進行身份校驗。

驗證身份

網(wǎng)關將訪問者的身份信息和其它環(huán)境信息發(fā)給PDP，PDP進行計算后返回驗證結果。

放行或攔截

根據(jù)驗證結果將訪問請求轉發(fā)到真實的服務器或報錯頁面，或跳轉到權限平臺。

零信任技術的優(yōu)缺點

首先，零信任框架可以提供更高的安全性，通過對網(wǎng)絡流量進行多重驗證和授權，它可以有效地防止未經(jīng)授權的訪問和數(shù)據(jù)泄露。

其次，零信任框架還可以提供更好的可擴展性，它可以適應不斷發(fā)展和增長的網(wǎng)絡需求，并靈活地適應不同的網(wǎng)絡環(huán)境。

然而，零信任框架也面臨一些挑戰(zhàn)。其中之一是復雜性，實施和管理一個零信任網(wǎng)絡需要投入大量的人力和資源。此外，對現(xiàn)有網(wǎng)絡基礎設施的改動可能也會引起一些運營上的問題。

免責聲明：素材源于網(wǎng)絡，如有侵權，請聯(lián)系刪稿。

cc

收藏 海報分享