深入理解零信任

一、为什么零信任火起来了?

1、无法满足的需求

    传统的网络隔离,在远程办公场景下的问题日益突出。以前是为了安全所以要搞网络隔离,然而隔离阻碍了业务的进行和发展。所以在需求的促使下,既需要打破网络隔离,又要解决打破网络隔离后的安全问题。

2、安全区内的乱象

    传统的隔离策略是硬性的制造安全舒适区,舒适区内的管控很弱,导致一旦不安全因素进入到安全舒适区,就会长时间不被发现,反而造成了不安全的乱象。

3、用进废退

   因为安全挑战的增加,导致安全区越收越小,安全区内因为少有应对危险的经验,导致了安全手段和意识的下降。网络隔离是一刀切做法,也是偷懒的做法。


二、零信任的核心是什么?

零信任和之前动态清零策略非常相似。

1、放开入口

    有很多人在问零信任和VPN安全产品有什么区别和联系。事实上VPN安全产品是一种相对安全的打破网络隔离的手段;有点像海关,国外的人想入境,不是随便从海岸线的某个点直接进入国内,而是要过海关。

    传统的网络隔离类似闭关锁国,而VPN安全产品像hai关。hai关的入境检查是不是严格,区分不同的VPN安全产品。

    为了满足业务需要,需要开放不安全区对安全区的访问。

2、身份权限

    零信任强调全流程和全生命周期的管控,那么就依赖身份和权限的支持,也就是说每个请求需要符合其身份。有点像健康ma。

3、持续检测

    持续检测顾名思义就是在假定在不安全的环境下,对请求持续验证的方式;有点像之前的一ri一jian。


三、如何落地零信任(一事一议)

1、大体的手段

1)各种中间代理。网关类代理、端点测的小代理等。核心是用各种代理对访问过滤,进行行为和权限检测。

2)行为判定中心。与代理联动,负责策略的下放和调整,负责判定某些访问的风险等级等。

3)阻断策略。

2、在安全和业务中间取平衡

我们要不停的提醒自己的目标是什么。

我们分几种场景:

1)可以做到网络隔离,但想加强安全区内的管控

2)做不到网络隔离,安全要求不高

3)做不到网络隔离,安全要求高

这三种情况需要的策略是不同的,那么在入口、身份鉴权、持续检测的粒度和力度都不同。

3、在安全和改造量中间取平衡

整个系统可能需要调整部署模式;鉴权和数据收集有可能侵入业务系统。

4、在安全和性能中间取平衡

持续的检测必定影响性能,需要做这种,比如检测的频率,本地策略和远程策略的比例等等

你可能感兴趣的:(深入理解零信任)