国产在线精选免费视频8x

    <menuitem id="db173"></menuitem>
    <menuitem id="db173"><delect id="db173"><i id="db173"></i></delect></menuitem>
      <menuitem id="db173"></menuitem>
      <menuitem id="db173"><ruby id="db173"></ruby></menuitem><menuitem id="db173"></menuitem>

      <nobr id="db173"><thead id="db173"></thead></nobr>
        轉載|零信任安全架構的核心技術與應用場景
        作者:國??萍?/div>
        時間:2022-01-17

        保密柜http://www.systemesdinformation.com/

        (本文引自《零信任安全架構的核心技術與應用場景》

        美國國家標準技術研究院(NIST)在《零信任架構》中指出,傳統安全方案對授權用戶開放了過多的訪問權限。零信任的首要目標就是重建信任,基于身份實現細粒度的訪問控制,解決越權訪問的風險。與此同時,對零信任安全做了如下定義:零信任安全提供一系列概念、理念、組件及其交互關系,以便消除針對信息系統和服務進行精準訪問判定所存在的不確定性。此定義指出了零信任需要解決的關鍵問題:消除對數據和服務的未授權訪問,強調了需要進行細粒度訪問控制的重要性。

        本文將對零信任安全架構的核心技術與應用場景進行具體分析。

        核心技術


        身份安全
        身份安全提供身份管理、身份認證和授權能力,作為零信任的技術組件之一,對應零信任架構的“身份安全基礎設施”。
        (1)身份管理
        身份管理是對身份數據的管理。身份管理包含身份識別、數據同步、身份存儲、密碼管理、特權管理等能力,覆蓋了身份全生命周期管理、身份屬性自定義、電子身份唯一化、電子身份自動化等方面。
        (2)身份認證
        身份認證技術是確認操作者真實身份過程中使用的方法或手段。在零信任安全模型下,對用戶訪問行為的監控是持續進行的,能夠根據用戶的行為實時調整策略。因此,基于公鑰密碼算法的身份認證技術仍將被廣泛應用的同時,多因子認證、動態認證等身份認證技術會更多地被采用,并且在全面身份化的背景下,物聯網設備大多采用基于區塊鏈的認證技術。



        訪問代理

        零信任訪問代理融合了傳輸加密、業務隱藏、訪問代理、流量檢測等技術。
        (1)傳輸加密
        對業務訪問流量進行加密,保證數據通信安全,有效抵抗中間人攻擊。
        (2)業務隱藏
        融合SDP的端口隱藏技術,可以對應用資源和服務進行“端口隱藏”。
        (3)全場景的訪問代理
        零信任訪問代理需要支持Web訪問流量轉發、網絡層流量轉發、API調用轉發等使用場景。
        (4)流量檢測
        檢測、認證、授權所有訪問流量。




        訪問控制

        零信任架構的核心即對資源的訪問控制。訪問控制是通過某種途徑顯式準許或限制主體對客體訪問能力及范圍的一種方法,其目的在于限制用戶的行為和操作。當前應用比較廣泛的訪問控制技術包括基于角色的訪問控制(Role-Based Access Control,RBAC)和基于屬性的訪問控制(Attribute-Based Access Control,ABAC)。零信任模型下,需要解決對用戶的最小化授權、動態授權控制等問題?,F有的零信任實現方案雖有采用RBAC模式,但多基于ABAC實現,也有采用了RBAC和ABAC結合的授權方式,即基于策略的訪問控制(Policy Based Access Control,PBAC),既兼顧RBAC的簡單、明確的特性,也具備ABAC的靈活性,實現了基于主體屬性、客體屬性、環境風險等因素的動態授權。




        信任評估

        持續信任評估是零信任體系從零開始構建信任的關鍵手段。通過建立包含信任評估模型和算法的信任評估引擎,實現基于身份的信任評估能力。同時利用環境感知技術,獲取終端環境及身份的信任評分,結合身份屬性信息,對訪問的上下文環境進行風險判定,對訪問請求進行異常行為識別,并對信任評估結果進行調整,覆蓋“運行態”訪問安全。當訪問上下文和環境存在風險時,需要對訪問權限進行實時干預,并評估是否需要對訪問主體的信任降級。
        美國國防部在《零信任參考架構》中將信任算法分為基于條件的評估、基于分值的評估、基于獨立請求信息的評估和基于上下文的評估 。理想情況下,零信任架構應采用上下文相關的信任算法。但在定義和實現信任算法時,必須根據應用場景,平衡安全性、可用性和成本效益。



        應用場景
        企業環境可基于零信任原則來設計規劃。根據用戶類型、終端類型、數據敏感程度等各典型業務場景,在零信任參考架構的指引下,通過低耦合高內聚的能力疊加建設,將零信任架構的控制平面、數據平面分別由不同的零信任組件逐步疊加,應用于遠程訪問、大數據平臺的數據交換、物聯網泛終端接入等現代IT場景。




        低耦合高內聚能力



        疊加和場景擴展

        (1)數據平面縱深擴展
        數據平面對不同粒度的受保護資產,以不同形態、層次、能力實施保護措施,各層數據平面均具備水平擴展能力,可與具體場景層級深度結合,并能結合新興場景、實際需求進行持續演進,解決用戶在訪問應用、數據交換、工作負載、物聯網接入等場景下,收縮暴露面、保護資產、訪問控制的安全訴求。
        (2)控制平面水平擴展
        控制平面的核心組件具有高度的一致性,控制平面具備統一控制調度能力,即對于數據平面統一的控制能力、管理能力、分析能力。零信任架構除了自身能力構建,還需同時具備完整的開放性,通過OpenC2、Restful API等通用協議接口與外部進行信息交互、完成策略與指令控制。




        遠程訪問

        遠程訪問場景,可細化為業務、辦公遠程訪問、開發測試、特權運維、面向用戶的公共訪問等幾類場景。該場景是通過在主體和客體之間的訪問路徑上構建完整的信任鏈,實現訪問控制過程的安全可控。對遠程接入的用戶和設備實施身份驗證和持續授權,解決遠程安全接入、動態授權和可控業務訪問的問題。




        遠大數據平臺的數據交互

        大數據平臺主要的數據交互場景有兩類:一類是用戶或者外部系統通過數據中心網絡出口訪問內部系統數據;另一類是大數據平臺內部工作負載之間交互。

        (1)外部數據出入交換

        在大數據平臺的外部設置安全接入區,部署API代理控制服務,所有外部數據的交換都通過安全接入區才能訪問,實現內部、外部用戶和應用對于大數據平臺API服務的安全接入,并且可根據訪問主體實現細粒度的訪問授權。

        (2)內部工作負載交互

        使用微隔離的技術手段實現服務器之間的隔離,一個服務器訪問另一個服務器資源時需要進行身份認證。解決傳統環境、虛擬化環境、混合云環境下內部流量的識別與訪問控制問題。




        遠物聯網泛終端接入

        在物聯網實施零信任安全,是通過部署邊緣物聯接入管理設備,建立物聯設備標識管理機制,生成由主體屬性、環境屬性和客體屬性構成的物聯設備身份指紋,建立物聯設備安全基線庫。采用持續主動掃描、被動監聽檢測、安全接入控制區等方式,解決終端的身份認證和訪問控制。允許身份可信、經過動態授權的物聯設備入網,并對物聯終端進行持續信任評估、訪問控制,解決物聯終端的身份仿冒和惡意訪問。

        正品保證 優質服務 急速物流 售后無憂
        国产在线精选免费视频8x
          <menuitem id="db173"></menuitem>
          <menuitem id="db173"><delect id="db173"><i id="db173"></i></delect></menuitem>
            <menuitem id="db173"></menuitem>
            <menuitem id="db173"><ruby id="db173"></ruby></menuitem><menuitem id="db173"></menuitem>

            <nobr id="db173"><thead id="db173"></thead></nobr>