网络安全新架构:零信任安全

2019年7月12日,美国国防部发布《国防部数字现代化战略》。《战略》主要由美国国防部首席信息官(DoD CIO)牵头制定,旨在确保国防部以更高效、更有效的方式执行任务,为美国国防部IT现代化领域一系列其他战略文件提供顶层指导。在《战略》附录中列出的在国防领域有应用前景的技术中,将零信任安全(Zero Trust Security)作为了美国国防部优先发展的技术之一。 零信任是一种网络安全策略,它在整个架构中嵌入安全性,以阻止数据泄露。此安全模型消除了信任或不信任的网络、设备、角色或进程的概念,并转变为基于多属性的置信级别,从而在最低特权访问概念下启用身份验证和授权策略。

1零信任安全模式从何而来?

在网络监控无处不在的时代,很难确定谁是值得信任的。我们能相信互联网流量没有被监听吗?当然不能!我们既无法信任提供光纤租用的互联网服务商,也无法信任昨天在数据中心布线的合同工。“数据中心内部的系统和网络流量是可信的”这一假设是不正确的。现代的网络设计和应用模式,已经使得传统的、基于网络边界的安全防护模式逐渐失去原有的价值。因此,网络边界的安全防护一旦被突破,即使只有一台计算机被攻陷,攻击者也能够在“安全的”数据中心内部自由移动。零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型没有基于网络位置建立信任,而是在不依赖网络传输层物理安全机制的前提下,有效地保护网络通信和业务访问。

据有关机构调查分析,内部人员威胁是造成企业数据泄露的第二大原因。企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限,一旦出现凭证丢失、权限滥用或非授权访问等问题,往往会导致企业的数据泄漏。外部黑客攻击是造成企业数据泄露的第一大原因。美国Verizon 公司《201

你可能感兴趣的:(综合技术探讨及方案专栏,安全,web安全,架构)