《電子技術應用》
您所在的位置:首頁 > 其他 > AET原創(chuàng) > “零信任”理念能否勝任當今網(wǎng)絡安全形勢,?

“零信任”理念能否勝任當今網(wǎng)絡安全形勢?

2020-04-29
作者:周彬
來源:信息技術與網(wǎng)絡安全

在這個萬物互聯(lián)的時代,,數(shù)據(jù)已經(jīng)呈指數(shù)形式爆炸增長,,而在這爆炸增長的數(shù)據(jù)背后隨之而來的現(xiàn)象便是網(wǎng)絡安全問題。


<a class=


雖然我們早已構建了數(shù)字護城河,,通過防火墻,、WAF、IPS等邊界安全產(chǎn)品/方案對企業(yè)網(wǎng)絡邊界進行重重防護,,但仍然時常有網(wǎng)絡信息安全事件發(fā)生,,僅在2019年初就發(fā)生了澳大利亞維多利亞州政府3萬名雇員個人信息被外泄;萬豪酒店5億客戶數(shù)據(jù)遭到泄漏,;TLS 1.2 協(xié)議出現(xiàn)漏洞,,近3000網(wǎng)站受影響;英特爾CPU再現(xiàn)高危漏洞,,官方證實可泄漏私密數(shù)據(jù)等眾多網(wǎng)絡安全事件,,也就意味著傳統(tǒng)的網(wǎng)絡安全防護措施在如今已經(jīng)收效甚微,那么網(wǎng)絡環(huán)境到底發(fā)生了什么變化呢,?

當今的網(wǎng)絡時代數(shù)據(jù)爆炸增長,,網(wǎng)絡用戶群體龐大,各種程序?qū)映霾桓F,,導致了要保護的信息量過大,,而實施破壞行為的人群異常龐大,程序應用之中的漏洞也數(shù)不勝數(shù),。

 在互聯(lián)網(wǎng)飛速發(fā)展的同時,,移動互聯(lián)網(wǎng)也日益興起,根據(jù)《2019移動互聯(lián)網(wǎng)全景生態(tài)報告》顯示,,中國移動互聯(lián)網(wǎng)用戶規(guī)模已經(jīng)超過了11.3億,,越來越多的人在日常生活中大量使用QQ、微信,、微博、知乎,、豆瓣,、貼吧、虎撲等線上交流平臺,,每個人都可以在網(wǎng)絡上營造各種不同的身份,,每個人在網(wǎng)絡上都會有大量的“最熟悉的陌生人”,而這些“最熟悉的陌生人”就很有可能在你不知不覺中盜走你的相關信息,,利用你的信任,,入侵你的網(wǎng)絡從而竊取個人或者企業(yè)甚至國家的相關秘密,。就在近日,四川廣元市公安局就破獲一起“10·20”電信詐騙案,,犯罪分子就是利用微信,、QQ等線上虛擬平臺誘導受害人購買理財投資產(chǎn)品進行詐騙,涉案金額逾4000萬元,。

而在現(xiàn)實生活中,,許多用戶經(jīng)常會出現(xiàn)操作失誤的情況,甚至還有一些操作者蓄意破壞,,惡意盜取公司的相關信息,。2010年富士康公司內(nèi)部員工林某將iPAD 2平板電腦后殼的3D數(shù)據(jù)圖泄露,給富士康造成重大損失,。這些行為都是訪問主體對網(wǎng)絡數(shù)據(jù)安全造成的破壞,。

現(xiàn)在的互聯(lián)網(wǎng)世界里已經(jīng)沒有了時間和空間的限制,至使其受眾人群變的無限大,,而其中的不法分子也自然變得無限多,。海量的黑客會讓網(wǎng)絡中細微的漏洞都被無限放大,無論是個人研發(fā)的程序亦或企業(yè)甚至是國家層面研發(fā)的程序,,總會有黑客發(fā)現(xiàn)其中的漏洞,,這都會導致安全事件的發(fā)生。在2010年1月,,谷歌就受到了黑客的網(wǎng)絡入侵,。黑客就是利用Adobe Reader中的一個漏洞實施了這次攻擊,并且使用同樣的方法攻擊了其他三十多家公司,,其中包括雅虎,、賽門鐵克、Adobe和諾斯羅普格魯門,。

 與此同時,,信息、數(shù)據(jù)的價值已經(jīng)越來越高,,越來越多的人意識到數(shù)據(jù)的重要性,,但是針對于數(shù)據(jù)的有效保護措施卻并沒有改善。我們可以把現(xiàn)金存進銀行,,把文件鎖進保險柜,,把心事寫在密碼本里。但是對于數(shù)據(jù)而言,,還沒有一個比較完備的機構或者設備可以用來放心存儲,,大量的數(shù)據(jù)還都在網(wǎng)絡中“暴露”著,各種數(shù)據(jù)都有可能被他人加以攔截,、篡改,、破壞等從而達到其目的,,如果這些數(shù)據(jù)涉及到企業(yè)商密,甚至軍密,,那么所帶來的影響無疑是空前巨大的,,可能會造成難以估量的損失。

傳統(tǒng)的基于邊界的網(wǎng)絡安全架構在某種程度上假設或默認了內(nèi)網(wǎng)的人和設備是值得信任的,,認為網(wǎng)絡安全就是構建重重防護就足夠了,。正是因為這種默認信任的觀念,導致在訪問主體(人員,、設備,、應用、系統(tǒng))這一層面上就會存在很多不確定因素從而給網(wǎng)絡安全帶來威脅,。

而“零信任”的提出則盡可能的解決了這一問題,。在《零信任網(wǎng)絡》一書中,埃文·吉爾曼(Evan Gilman)和道格·巴斯(Doug Barth)將零信任的定義建立在如下的五個基本假定之上:

(1)網(wǎng)絡無時無刻不處于危險的環(huán)境中,;

(2)網(wǎng)絡中自始至終存在外部或內(nèi)部威脅,;

(3)網(wǎng)絡的位置不足以決定網(wǎng)絡的可信程度;

(4)所有的設備,、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權,;

(5)安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計算而來,。

零信任的本質(zhì)是在訪問主體和客體之間構建以身份為基石的動態(tài)可信訪問控制體系,,通過以身份為基石、業(yè)務安全訪問,、持續(xù)信任評估和動態(tài)訪問控制的關鍵能力,,基于對網(wǎng)絡所有參與實體的數(shù)字身份,對默認不可信的所有訪問請求進行加密,、認證和強制授權,,匯聚關聯(lián)各種數(shù)據(jù)源進行持續(xù)信任評估,并根據(jù)信任的程度動態(tài)對權限進行調(diào)整,,最終在訪問主體和訪問客體之間建立一種動態(tài)的信任關系,。

零信任安全架構是以身份為基石,關注業(yè)務安全訪問,,進行持續(xù)信任評估,,建立動態(tài)訪問控制模型。

基于身份而非網(wǎng)絡位置來構建訪問控制體系,,首先需要為網(wǎng)絡中的人和設備賦予數(shù)字身份,將身份化的人和設備進行運行時組合構建訪問主體,,并為訪問主體設定其所需的最小權限,。

通過業(yè)務保護面實現(xiàn)對資源的保護,,在零信任架構中,應用,、服務,、接口、數(shù)據(jù)都可以視作業(yè)務資源,。通過構建保護面實現(xiàn)對暴露面的收縮,,要求所有業(yè)務默認隱藏,根據(jù)授權結(jié)果進行最小限度的開放,,所有的業(yè)務訪問請求都應該進行全流量加密和強制授權,,業(yè)務安全訪問相關機制需要盡可能工作在應用協(xié)議層。

持續(xù)信任評估是零信任架構從零開始構建信任的關鍵手段,,通過信任評估模型和算法,,實現(xiàn)基于身份的信任評估能力,同時需要對訪問的上下文環(huán)境進行風險判定,,對訪問請求進行異常行為識別并對信任評估結(jié)果進行調(diào)整,。

動態(tài)訪問控制是零信任架構的安全閉環(huán)能力的重要體現(xiàn)。建議通過RBAC和ABAC的組合授權實現(xiàn)靈活的訪問控制基線,,基于信任等級實現(xiàn)分級的業(yè)務訪問,,同時,當訪問上下文和環(huán)境存在風險時,,需要對訪問權限進行實時干預并評估是否對訪問主體的信任進行降級,。

因此,必須要堅持“零信任”的思想理念,,才能更好的減少并阻止網(wǎng)絡安全事件的發(fā)生,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉(zhuǎn)載,。