标签:20211024 选型 认证 访问 建设 资源 信任 身份
一,什么是零信任
零信任就是对于网络中所有的业务流量默认认为都是危险不可信任的,而让其信任的最终方式是通过不断的认证,例如身份认证、终端环境认证、操作认证等方式来实现。
对于零信任的理解,总结以下几个要点:
- 网络中充满了威胁,不管是外部网络,还是内部员工,像以前对暗号那样,在没有充分展示可信信息之前,都是不能允许访问需求资源。
- 对于不同的对象,展示可信信息的方式也大相径庭。例如对于人来说,可信信息包括账号认证、生物特征认证等;对于终端来说,可信信息包括系统安全性检测、系统脆弱性检测等。
- 风险、信任是零信任中最重要的要素,风险代表着访问对象威胁性,信任代表着访问对象安全性。两者判断方式是通过持续性的认证、检测来实现,例如在用户访问信息资源时,当出现异常操作时,进行身份认证。
- 每个访问者遵循最小权限原则,对应用系统的访问操作需要精细化到具体操作步骤,例如请求提交、文档修改
零信任核心原则
企业基于持续验证,动态授权和全局防御三个核心原则构建自己的零信任网络。
二,为什么使用零信任
随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有安全边界,企业信息安全面临着前所未有的挑战。
- 访问者身份及接入终端的多样化、复杂化打破了网络的边界,传统的访问管控方式过于单一。在用户一次认证后,整个访问过程不再进行用户身份合规性检查,无法实时管控访问过程中的违规和异常行为。
- 业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
- 资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
- 零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
三,如何实现零信任
零信任架构
实现零信任技术选型
- SDP
- IAM
- MSG
目前实现主要包括上述技术组合实现.
核心业务流,控制流和数据流如下:
零信任核心落地难点
零信任核心领域概念
- 身份(人的身份和设备身份)
- 资源
- 权限
- 告警
- 策略
1.1 身份
身份包括人的身份,设备的身份.
主要对人的身份,设备的身份进行定义.
人的身份包括但不限于:
- 账号
- 验证码
- 生物特征
核心能力包括:
身份的持续识别和验证
1.2 资源
资源指企业的应用权限,包括四层协议,七层协议.
四层协议指企业服务器,主机或者跳板机.
七层协议指企业web资源,包括比如oa系统,HR系统等.
1.3 策略
策略一边和身份挂钩,一边又和资源挂钩.策略是定义访问客体对访问主体的访问规则.
策略本质是一个表达式.
1.4 告警
告警是指 访问行为出现异常.比如异常访问.越权访问.数据来源主要包括
- 身份异常
- 策略执行异常
产品设计
技术实现难点
- SPA包
- 四层协议代理
- 规则引擎的选型
- 网关的选型
- 身份认证框架的选型
- 身份信息的同步
标签:20211024,选型,认证,访问,建设,资源,信任,身份 来源: https://www.cnblogs.com/original123/p/15450783.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。