未來已來,零信任安全架構時代已經到來
- 分類:云涌新聞
- 作者:
- 來源:
- 發布時間:2021-03-23
- 訪問量:2252
未來已來,零信任安全架構時代已經到來
【概要描述】
大數據時代,互聯網江湖復雜而險惡,網絡黑暗勢力無處不在,即便是在各大知名品牌與企業盡全力做好自身網絡防護的情況下,一些網絡犯罪份子還是在2020冠狀病毒大流行的這一年,抓住全球數億員工在家遠程辦公的機會,大肆增加對企業的網絡攻擊和勒索。讓我們來看看2020 年發生了哪些高頻數據泄露和網絡攻擊事件:
2020 年 2 月,雅詩蘭黛泄露 4.4 億用戶敏感信息;2020 年 3 月,5.4 億新浪微博用戶數據遭泄露;2020 年 4 月,Zoom 50 多萬用戶的登錄憑證遭黑客竊取;2020 年 5 月,泰國移動運營商泄露 83 億條用戶數據記錄;2020 年6 月,甲骨文公司泄露數 10 億條網絡數據記錄……
這些數據泄露事件令許多全球知名品牌與企業成為網絡攻擊的受害者。究其原因主要是由于傳統網絡安全架構默認內網是安全的,認為網絡安全就是邊界安全,因此通過在邊界部署大量的安全產品如通過防火墻、WAF、IPS、網閘等設備對網絡邊界進行層層防護,但殊不知燈下黑的道理,只知屯重兵于邊界,不重視甚至忽視企業內網的安全,像蝸牛式保護,外殼堅硬而內部柔弱,防外不防內,這樣并不能夠使用戶的網絡變得更加安全,據業界調查表明,網絡安全事件中高達80%是來源于內網,或者內外勾結。
除此之外,隨著信息技術不斷更新迭代,云計算、大數據等高新技術也加速發展,而傳統網絡的邊界則逐漸模糊,很多的數據信息操作、訪問都是由員工從外部網絡訪問的,這一點在疫情期間尤為明顯,因為疫情原因使得大部分企業員工需要在家辦公,這樣就少不了需要采用遠程辦公、線上視頻會議等方式進行工作。但當業務與信息化發展融合越緊密,其暴露的風險就越大,人員通過網絡訪問后臺應用系統,如果只依靠防火墻和入侵防御這些措施,只能檢測到流量內容的安全性,但對于其身份ID、操作行為卻無法鑒別,之前發生的微盟刪庫跑路事件、微博用戶數據泄露就是這些風險的代表。
日益復雜的網絡環境不得不對網絡安全提出了更高的要求,「零信任」這一概念則是在這一大背景下應運而生,近兩年更是成為網絡安全的熱門詞匯。
什么是零信任
零信任安全建立在一個簡單的、眾所周知的前提之上:不信任網絡內部和外部的任何人/設備/系統;不信任傳統網絡邊界保護,而代之以微邊界保護。
零信任要求將用戶的訪問權限限制為完成特定任務所需的最低限度,在組織內部重構以身份為中心的信任體系和動態訪問控制體系,建立企業全新的身份邊界,即微邊界。零信任的關鍵在于控制對數據的訪問權限,而與數據所在的位置無關,與訪問發起者的位置無關。
零信任的做法是先信任,后連接,只有通過動態的認證和授權,才可能發起對數據資源的訪問連接,這和傳統網絡安全先連接后信任的方法有主要區別。
零信任產生的原因
傳統網絡只通過物理位置的方式來判斷威脅,但隨著“云大物移”不斷融入我們的生活,這種由物理上所劃分的安全邊界將逐步瓦解。
02
信息化安全建設的源頭是業務訪問者,如果缺少對身份、認證、授權、審計等流程,數據泄露及破壞等事件就會層出不窮。
03
新技術帶來便利的同時也帶來了安全問題,信息化發展日新月異,安全措施也不能一成不變,需要持續性的優化、改進。
因此,零信任技術成為了解決上述問題的方法。
如何實現零信任
網絡中充滿了威脅,不論是是外部還是內部,和以前對暗號那樣,在沒有充分展示可信信息之前,都是不能允許訪問資源。
02
對于不同的對象,展示可信信息的方式也大相徑庭。例如對于人來說,可信信息包括賬號認證、生物特征認證等;對于終端來說,可信信息包括系統安全性檢測、系統脆弱性檢測等。
03
風險、信任是零信任中最重要的要素,風險代表著訪問對象威脅性,信任代表著訪問對象安全性。兩者判斷方式是通過持續性的認證、檢測來實現,例如在用戶訪問信息資源時,當出現異常操作時,進行身份認證。
04
每個訪問者遵循最小權限原則,對應用系統的訪問操作需要精細化到具體操作步驟,例如請求提交、文檔修改。
總之,對于零信任最終實現的方式,可以參考4A,也就是賬號、認證、授權、審計這四個功能項。但零信任也不是單純的4A,而是在其基礎上新增了持續性的概念,也就是賬號全周期管理、認證、權限操作的持續性檢測。
零信任的規劃
01
零信任涉及到企業全網系統性改造,包括網絡架構、認證方式、系統接口對接,這個工程量是巨大的。
02
開發工作
企業業務場景千變萬化,零信任不會是一套標準化的產品,需要與用戶需求相貼合,落地實施前會有大量開發工作。
為了更好實現零信任,我們可以將零信任建設分為幾個安全節點來分別做規劃:
零信任不是單純的新增身份認證、權限管控的產品,傳統安全建設也不應該忽視,例如訪問控制類(NGFW類)、業務分析類(APT檢測類)、數據加密(VPN類)、數據防泄密(DLP類)。
不僅僅對訪問者的身份進行確認,更是對其使用的終端環境等因素進行搜集判斷。身份認證可以采用IAM等方式,終端環境判斷可以采用EDR、終端桌面管理等方式。
賬號不僅僅是用戶名+密碼的方式,而是通過多種因素進行判斷,也就是多因素身份驗證(MFA)。可以通過堡壘機、統一應用管理產品來實現。
權限是通過前面身份與賬號統一結合后判斷的,并且通過持續的監測來判斷權限是否合規。可以采用UEBA等方式來實現。
對每個環節產生的日志進行匯總、分析,綜合出使用者的信任情況,并將結果反饋給權限控制。可以通過日志審計等方式來實現。
★ 結語 ★
面對頻發的數據泄露事件和不斷上升的經濟損失,企業越來越意識到,如果僅靠現有的安全方法,并不足以應對愈趨嚴峻的安全態勢,因為在傳統安全架構設計中,邊界防護無法確保內部系統的安全性能,尤其是隨著5G、云計算等新興技術的融入,加劇了邊界模糊化、訪問路徑多樣化,造成傳統邊界防護無從入手。他們需要更好的東西,而零信任安全體系恰好就能給出最好的結果:風險持續預測、動態授權、最小化原則的「零信任」創新性安全思維契合數字基建新技術特點,借助云、網絡、安全、AI、大數據的技術發展,著力提升信息化系統和網絡的整體安全性,成為網絡安全保障體系升級的中流砥柱。
未來已來,零信任安全架構時代已經到來
關于云涌
云涌科技是一家以嵌入式技術為背景,提供工業信息安全和工業物聯網解決方案的高新技術企業。公司2004年成立,總部位于江蘇泰州,在北京、鄭州、南京,泰州、深圳設有研發中心。2020年在上海證券交易所科創板成功上市(股票代碼688060)。
云涌科技擁有成熟的基于ARM、PowerPC、MIPS、龍芯、飛騰等嵌入式開發平臺,具備FPGA密碼卡設計,零信任安全架構,可信計算等核心技術。產品包括:基于可信的工業信息安全設備、加密卡及相關密碼組件、基于零信任的邊緣計算機及工業物聯網方案。在能源電力、交通物流、石油石化、智慧城市等行業,云涌科技不斷為客戶提供更好的產品和技術服務,與客戶合作共贏,聚創未來。
- 分類:云涌新聞
- 作者:
- 來源:
- 發布時間:2021-03-23
- 訪問量:2252
大數據時代,互聯網江湖復雜而險惡,網絡黑暗勢力無處不在,即便是在各大知名品牌與企業盡全力做好自身網絡防護的情況下,一些網絡犯罪份子還是在2020冠狀病毒大流行的這一年,抓住全球數億員工在家遠程辦公的機會,大肆增加對企業的網絡攻擊和勒索。讓我們來看看2020 年發生了哪些高頻數據泄露和網絡攻擊事件:
2020 年 2 月,雅詩蘭黛泄露 4.4 億用戶敏感信息;2020 年 3 月,5.4 億新浪微博用戶數據遭泄露;2020 年 4 月,Zoom 50 多萬用戶的登錄憑證遭黑客竊取;2020 年 5 月,泰國移動運營商泄露 83 億條用戶數據記錄;2020 年6 月,甲骨文公司泄露數 10 億條網絡數據記錄……
這些數據泄露事件令許多全球知名品牌與企業成為網絡攻擊的受害者。究其原因主要是由于傳統網絡安全架構默認內網是安全的,認為網絡安全就是邊界安全,因此通過在邊界部署大量的安全產品如通過防火墻、WAF、IPS、網閘等設備對網絡邊界進行層層防護,但殊不知燈下黑的道理,只知屯重兵于邊界,不重視甚至忽視企業內網的安全,像蝸牛式保護,外殼堅硬而內部柔弱,防外不防內,這樣并不能夠使用戶的網絡變得更加安全,據業界調查表明,網絡安全事件中高達80%是來源于內網,或者內外勾結。
除此之外,隨著信息技術不斷更新迭代,云計算、大數據等高新技術也加速發展,而傳統網絡的邊界則逐漸模糊,很多的數據信息操作、訪問都是由員工從外部網絡訪問的,這一點在疫情期間尤為明顯,因為疫情原因使得大部分企業員工需要在家辦公,這樣就少不了需要采用遠程辦公、線上視頻會議等方式進行工作。但當業務與信息化發展融合越緊密,其暴露的風險就越大,人員通過網絡訪問后臺應用系統,如果只依靠防火墻和入侵防御這些措施,只能檢測到流量內容的安全性,但對于其身份ID、操作行為卻無法鑒別,之前發生的微盟刪庫跑路事件、微博用戶數據泄露就是這些風險的代表。
日益復雜的網絡環境不得不對網絡安全提出了更高的要求,「零信任」這一概念則是在這一大背景下應運而生,近兩年更是成為網絡安全的熱門詞匯。
什么是零信任
零信任安全建立在一個簡單的、眾所周知的前提之上:不信任網絡內部和外部的任何人/設備/系統;不信任傳統網絡邊界保護,而代之以微邊界保護。
零信任要求將用戶的訪問權限限制為完成特定任務所需的最低限度,在組織內部重構以身份為中心的信任體系和動態訪問控制體系,建立企業全新的身份邊界,即微邊界。零信任的關鍵在于控制對數據的訪問權限,而與數據所在的位置無關,與訪問發起者的位置無關。
零信任的做法是先信任,后連接,只有通過動態的認證和授權,才可能發起對數據資源的訪問連接,這和傳統網絡安全先連接后信任的方法有主要區別。
零信任產生的原因
傳統網絡只通過物理位置的方式來判斷威脅,但隨著“云大物移”不斷融入我們的生活,這種由物理上所劃分的安全邊界將逐步瓦解。
02
信息化安全建設的源頭是業務訪問者,如果缺少對身份、認證、授權、審計等流程,數據泄露及破壞等事件就會層出不窮。
03
新技術帶來便利的同時也帶來了安全問題,信息化發展日新月異,安全措施也不能一成不變,需要持續性的優化、改進。
因此,零信任技術成為了解決上述問題的方法。
如何實現零信任
網絡中充滿了威脅,不論是是外部還是內部,和以前對暗號那樣,在沒有充分展示可信信息之前,都是不能允許訪問資源。
02
對于不同的對象,展示可信信息的方式也大相徑庭。例如對于人來說,可信信息包括賬號認證、生物特征認證等;對于終端來說,可信信息包括系統安全性檢測、系統脆弱性檢測等。
03
風險、信任是零信任中最重要的要素,風險代表著訪問對象威脅性,信任代表著訪問對象安全性。兩者判斷方式是通過持續性的認證、檢測來實現,例如在用戶訪問信息資源時,當出現異常操作時,進行身份認證。
04
每個訪問者遵循最小權限原則,對應用系統的訪問操作需要精細化到具體操作步驟,例如請求提交、文檔修改。
總之,對于零信任最終實現的方式,可以參考4A,也就是賬號、認證、授權、審計這四個功能項。但零信任也不是單純的4A,而是在其基礎上新增了持續性的概念,也就是賬號全周期管理、認證、權限操作的持續性檢測。
零信任的規劃
01
零信任涉及到企業全網系統性改造,包括網絡架構、認證方式、系統接口對接,這個工程量是巨大的。
02
開發工作
企業業務場景千變萬化,零信任不會是一套標準化的產品,需要與用戶需求相貼合,落地實施前會有大量開發工作。
為了更好實現零信任,我們可以將零信任建設分為幾個安全節點來分別做規劃:
零信任不是單純的新增身份認證、權限管控的產品,傳統安全建設也不應該忽視,例如訪問控制類(NGFW類)、業務分析類(APT檢測類)、數據加密(VPN類)、數據防泄密(DLP類)。
不僅僅對訪問者的身份進行確認,更是對其使用的終端環境等因素進行搜集判斷。身份認證可以采用IAM等方式,終端環境判斷可以采用EDR、終端桌面管理等方式。
賬號不僅僅是用戶名+密碼的方式,而是通過多種因素進行判斷,也就是多因素身份驗證(MFA)。可以通過堡壘機、統一應用管理產品來實現。
權限是通過前面身份與賬號統一結合后判斷的,并且通過持續的監測來判斷權限是否合規。可以采用UEBA等方式來實現。
對每個環節產生的日志進行匯總、分析,綜合出使用者的信任情況,并將結果反饋給權限控制。可以通過日志審計等方式來實現。
★ 結語 ★
面對頻發的數據泄露事件和不斷上升的經濟損失,企業越來越意識到,如果僅靠現有的安全方法,并不足以應對愈趨嚴峻的安全態勢,因為在傳統安全架構設計中,邊界防護無法確保內部系統的安全性能,尤其是隨著5G、云計算等新興技術的融入,加劇了邊界模糊化、訪問路徑多樣化,造成傳統邊界防護無從入手。他們需要更好的東西,而零信任安全體系恰好就能給出最好的結果:風險持續預測、動態授權、最小化原則的「零信任」創新性安全思維契合數字基建新技術特點,借助云、網絡、安全、AI、大數據的技術發展,著力提升信息化系統和網絡的整體安全性,成為網絡安全保障體系升級的中流砥柱。
未來已來,零信任安全架構時代已經到來
關于云涌
云涌科技是一家以嵌入式技術為背景,提供工業信息安全和工業物聯網解決方案的高新技術企業。公司2004年成立,總部位于江蘇泰州,在北京、鄭州、南京,泰州、深圳設有研發中心。2020年在上海證券交易所科創板成功上市(股票代碼688060)。
云涌科技擁有成熟的基于ARM、PowerPC、MIPS、龍芯、飛騰等嵌入式開發平臺,具備FPGA密碼卡設計,零信任安全架構,可信計算等核心技術。產品包括:基于可信的工業信息安全設備、加密卡及相關密碼組件、基于零信任的邊緣計算機及工業物聯網方案。在能源電力、交通物流、石油石化、智慧城市等行業,云涌科技不斷為客戶提供更好的產品和技術服務,與客戶合作共贏,聚創未來。