expr

一文读懂什么是零信任?

什么是零信任网络

零信任架构的支撑系统称为控制平面,其他部分称为数据平面,数据平面由控制平面指挥和配置。访问受保护资源的请求首先经过控制平面处理,包括设备和用户的身份认证与授权。细粒度的控制策略也在这一层进行,控制平面可以基于组织中的角色、时间或设备类型进行授权。如果用户需要访问安全等级更高的资源,那么就需要执行更高强度的认证。

一旦控制平面完成检查,确定该请求具备合法的授权,它就会动态配置数据平面,接收来自该客户端(且仅限该客户端)的访问流量。控制平面能够为访问请求者和被访问的资源协调配置加密隧道的具体参数。

零信任网络的概念建立在以下 5 个基本假定之上

  • 网络无时无刻不处于危险的环境中。

  • 网络中自始至终存在外部或内部威胁。

  • 网络的位置不足以决定网络的可信程度。

  • 所有的设备、用户和网络流量都应当经过认证和授权。

  • 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

零信任能解决哪些问题:

1.传统安全架构默认内网是可信任从而带来的安全问题。

一般公司的数据中心都把互联网出口当成内外网隔离的边界。默认认为外网是不安全的,内网是安全的,所以在边界上布置了大量的安全设备和安全策略来确保万无一失。而内部的网络被认为是安全的。这样就出现了安全隐患,当攻击突破了边界后,可以进行横向的渗透,去攻击其他的资产。传统的安全架构是解决不了这个问题的。即使对内部网络进行分区分域的安全隔离,那么本区域内的横向渗透也杜绝不了。

2.传统安全架构认为静态认证或授权后用户是可信的带来的安全问题

传统的远程用户是通过vpn进行访问公司的内网资源。认证一般都是一个一次行为,通过后的很长时间内都默认是有效的。授权也是提前在vpn上写入的静态策略。这种安全架构也无法应对复杂的黑客攻击。

使用零信任(SDP)替代传统vpn的优势

vpn被SDP替代是以后的一种趋势

1.vpn有暴露到公网的地址,易受到攻击。比如vpn的公网地址是123.1.1.1,一般都是通过https登录,端口号是443,那么这个开口一直存在,黑客只要知道了这个公网地址就可以想办法渗透进去。但是SDP却可以隐藏服务和网络。用到的就是一个叫SPA(Single Packet Authorization)单包认证的东西。spa也用到的技术理念就是PK,port knocking敲端口。默认情况端口都是封闭的,客户端和服务端进行认证,认证通过后,动态创建一条端口打开的策略,允许访问。连接失效后端口关闭。这样网络就被隐藏了。

2.每个数据中心由于需要安全管理,都会单独布置一套vpn这就出现了访问A区数据中心要登录A区的vpn,如果要再访问B区资源需要退出登录重新等到B区的vpn上。使用非常麻烦

但是如果使用SDP就不需要来回切换。数据流量不管去哪个数据中心,都需要被认证,认证通过就能访问相应资源。

3.SDP的优势,的吞吐量并发量比vpn要大。原因就是vpn和用户建立的是长连接。建立连接后即使用户不访问应用,资源一直被占用。SDP采用的是短连接。每次应用访问都要认证。用完即释放。



OneAuth对零信任SDP的解决方案

OneAuth将访问数据中心/云架构提供一个通用的门户,通过它,您可获得一款开箱即用的零信任解决方案。

让您能获得 VPN 曾经提供的一切功能以及更多功能,而且不存在任何常见问题或复杂性。这意味着您将可以配置所有应用的访问策略、身份和访问管理 (IAM)、应用程序安全和加速、单点登录 (SSO) 以及清晰的可见性和控制能力。

为所有人(无论是远程用户还是本地用户)提供安全的服务,没有获得认证前,无法进入您的网络。数据中心或云中的控制网关供一个双向认证的传输层安全 (TLS) 连接,从而让用户直接访问允许的应用程序。只有在认证通过后,才会动态创建一条端口打开的策略,允许访问。连接失效后端口自动关闭。确保网络了安全避免了传统VPN的暴露问题。

无论用户使用何种终端都可以无需安装任何应用即可实现对零信任的接入,应用程序都将呈现在用户的浏览器上。使用 SSO单点登录 和 MFA多因素,使得IT 或安全部门更加便于管理,提升用户体验同时简化和改善传统vpn的繁杂管理难题,安全问题得以有效的解决。

企业无需再为应用的接入而付出额外的开发成本,所有的应用集成都在一次单击中无缝地合并。

用户即可实现单一来源的安全访问,且可在任何环境下启用 Zero Trust 框架,而不用再局限于传统VPN。

使用零信任带来的优势

1.服务隐身

通过单包敲门方式,打开所需端口。平时端口默认是关闭的,这样企业的网络和应用就处于一个比较隐蔽的位置,避免传统VPN的端口暴露问题。

2.接入安全

不像vpn,安装个客户端就能访问公司资源(甚至ssl vpn的话只要有浏览器就行)。零信任的产品可以设置终端访问的安全基线。如用户需要打齐操作系统的补丁才能允许访问应用,需要安装防病毒软件,以及特定软件等等。

3.动态的权限控制

以往的安全认证都是静态的,一次认证通过后,默认用户和流量都是安全的。零信任产品会不断的监控流量和用户行为以及用户的接入环境进行分析,一旦发现异常就采用动态的策略进行权限收缩,或者让用户进行二次认证,来确保用户访问的实时安全性。

4.行为分析

这里一般都会结合第三方的安全组件来实现态势感知,日志审计,信任评估等等。基于这些分析进行动态处置

转载请注明,谢谢