En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 零信任的技術價值

零信任的技術價值

文章

2021-03-31瀏覽次數(shù):199

從“存在即合理”的角度來講,任何新事物的產(chǎn)生都有其存在的價值和意義,無非是時間的長短而已,而能夠為大眾所接受的不僅僅對目前有意義而且還對未來也有利的事物。

 

圖片

 

零信任的概念出現(xiàn)的比較早,進入國內也就近幾年的事,業(yè)界對這一直頗有爭議:

第一種說法:零信任沒有方法論,沒有理論依據(jù);

第二種說法:零信任到底是否就是沒有信任;

第三種說法:有了零信任企業(yè)業(yè)務是否真的安全了?

 

第一種說法大部分來自搞研究的領域,就像加密算法及證書,有根才有分支,順藤摸到根就是依據(jù),這樣才是安全的,沒有依據(jù)的事物怎么來證明是安全的呢?實際上這是角度的問題,說方法論的大多從技術實現(xiàn)來講的,而零信任只是個概念,是眾多技術實現(xiàn)的組合,零信任的眾多組件在采用的技術就可以通過加密算法和證書來實現(xiàn);

第二種說法更多是來自字面上的理解,零信任并不是不信任,而是需要提供信任的憑據(jù),之前設備是無條件信任,而現(xiàn)在零信任只是增加了條件而已;

第三種說的更多是安全方面的深度和廣度問題,而零信任更多的是在一個點的深度上做到相對的安全,不可能覆蓋企業(yè)所有的安全,主要解決了從終端到資源之間的訪問和權限控制、網(wǎng)絡的傳輸、攻擊的隔離與防護方面存在的安全問題。

 

 

零信任的技術價值來自其各組件的實現(xiàn),下面讓我們來看看幾個關鍵組件的技術是怎樣實現(xiàn)的,它們各自存在的意義又有哪些。

 

 

軟件定義邊界(SDP)技術

 

SDP應該是零信任里最讓人感興趣的技術之一,原因來自VPN,我們知道VPN其實就是一個網(wǎng)關認證,認證通過后就一馬平川,導致詬病比較多,認證成功后就像建立了一座橋,并不關心過橋的人來自哪,想去哪,想干嘛?網(wǎng)絡身份是解決了,但這身份卻不一定與業(yè)務相關,這就導致身份不統(tǒng)一,需要重復認證,如果業(yè)務中沒有統(tǒng)一身份與認證系統(tǒng),也就意味著有N個業(yè)務系統(tǒng)就需要提供N個重復認證,這還只是身份識別問題,其他的問題就更復雜了,而這又是業(yè)務安全中經(jīng)常遇到的,解決的方式往往以類似打補丁的方式,并沒有一個統(tǒng)一的編排和調度機制,各種解決方案自然就五顏六色了,安全性難以得到保障。

 

SDP技術并不是要完全取代VPN,從網(wǎng)絡層來講其實是VPN技術的進化,SDP中的網(wǎng)絡層隧道加密技術完全可以采用VPN來完成,在此基礎之上再實現(xiàn)微隧道建立,完成端對端的加密方式和流量的完全隔離,當然SDP在建立網(wǎng)絡層加密隧道之前是需要完成設備與用戶同時認證的,否則無法建立網(wǎng)絡層加密隧道,這個就解決了你是誰,從哪里來的問題。對訪問者的身份和終端環(huán)境做了全面的鑒定,這塊對邊緣的身份安全有著廣泛的意義。

 

零信任架構是一組服務的集合,提供了一套完整的安全解決方案,把各個安全組件服務從點到面進行了覆蓋,類似于手機中的蘋果,各組件實現(xiàn)的技術并沒有新穎的地方,但整合在一起卻是令人耳目一新,所以說個體是否完美不重要,只要組合完美就可以了,在這點上,零信任技術得到完美詮釋。

 

 

 動態(tài)細粒度授權技術

 

前面提到訪問者是誰和來自哪的問題已被SDP解決,那么要去哪,想干嘛的問題就交給了零信任的動態(tài)細粒度授權組件來解決,這個組件的技術實現(xiàn)意義有兩個,一個解決是授權的顆粒問題;二是解決授權的動態(tài)問題。我們知道一般的系統(tǒng)都是有認證系統(tǒng)的,通過身份識別后獲得相應的訪問權限,而這里的權限基本上事先配置好的,如果有變化則需要再次配置,無法做到動態(tài)化;另外,權限的顆粒度也是用組或角色與系統(tǒng)菜單或功能關聯(lián)來完成,無法做到根據(jù)用戶信息的不同而不同,如果再要求返回的信息都要做到根據(jù)每個用戶擁有各自隱私數(shù)據(jù),對于基于角色的顆粒度授權模式來說就非常復雜而難以維護。

 

零信任的技術解決方式是通過細粒度動態(tài)授權的實現(xiàn)來解決這些問題,動態(tài)授權里包含了策略和風險評估,策略是通過屬性進行的決策服務,因此,屬性是權限顆粒度的單元,而基于屬性的授權模式很容易解決角色模式無法解決的問題,這是因為所有的信息都來自屬性,只需要根據(jù)策略決策的結果是否允許即可,這個請求策略決策動作的過程也就是動態(tài)授權了。這樣,業(yè)務的兩個安全問題就得到了很好的解決?;趯傩缘臎Q策與評估對以后邊緣的訪問安全有著參考意義。

 

 

微隔離技術

 

“城門失火,殃及池魚”,為了解決這個問題,零信任進行了流量隔離,采用了網(wǎng)絡微隔離技術,為了解決流量劫持和減少被侵入業(yè)務系統(tǒng)帶來的橫向影響,零信任的訪問采用在網(wǎng)絡加密隧道里實現(xiàn)端對端的加密技術,網(wǎng)絡加密隧道可以容納多個端對端的子隧道來保障各子隧道的獨立性,避免出現(xiàn)流量劫持和網(wǎng)絡的侵入,而網(wǎng)絡加密隧道是虛擬的,可根據(jù)業(yè)務的請求實現(xiàn)動態(tài)化,這樣不僅解決了被侵入業(yè)務系統(tǒng)的橫向影響,也同時解決了業(yè)務系統(tǒng)的負載均衡問題。這個就是微隔離存在的意義,應對攻擊建立了完整的防御體系。

 

以上是零信任里最關鍵的三個技術實現(xiàn),也是零信任的三大服務組件。除此之外,零信任還包含其他許多組件,而其中的統(tǒng)一身份與認證則是基礎組件,從邊緣安全到網(wǎng)絡安全,從訪問授權到資源安全,零信任已有相應的技術實現(xiàn)方案,是一個從點到面的完整而全面的技術實現(xiàn)過程。

 

圖片

從整體技術的實現(xiàn)來講,尤其在邊緣安全的保護與訪問,網(wǎng)絡安全與隔離,對未來的區(qū)塊鏈中的節(jié)點安全、物聯(lián)網(wǎng)的智能終端安全都有很好的借鑒意義。如果零信任技術的實現(xiàn)是基礎,那么意味著后續(xù)更多更廣泛的新技術可能即將到來,也許這才是它的技術價值所在。