En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 零信任的技術(shù)價值

零信任的技術(shù)價值

文章

2021-03-31瀏覽次數(shù):293

從“存在即合理”的角度來講,任何新事物的產(chǎn)生都有其存在的價值和意義,無非是時間的長短而已,而能夠為大眾所接受的不僅僅對目前有意義而且還對未來也有利的事物。

 

圖片

 

零信任的概念出現(xiàn)的比較早,進入國內(nèi)也就近幾年的事,業(yè)界對這一直頗有爭議:

第一種說法:零信任沒有方法論,沒有理論依據(jù);

第二種說法:零信任到底是否就是沒有信任;

第三種說法:有了零信任企業(yè)業(yè)務(wù)是否真的安全了?

 

第一種說法大部分來自搞研究的領(lǐng)域,就像加密算法及證書,有根才有分支,順藤摸到根就是依據(jù),這樣才是安全的,沒有依據(jù)的事物怎么來證明是安全的呢?實際上這是角度的問題,說方法論的大多從技術(shù)實現(xiàn)來講的,而零信任只是個概念,是眾多技術(shù)實現(xiàn)的組合,零信任的眾多組件在采用的技術(shù)就可以通過加密算法和證書來實現(xiàn);

第二種說法更多是來自字面上的理解,零信任并不是不信任,而是需要提供信任的憑據(jù),之前設(shè)備是無條件信任,而現(xiàn)在零信任只是增加了條件而已;

第三種說的更多是安全方面的深度和廣度問題,而零信任更多的是在一個點的深度上做到相對的安全,不可能覆蓋企業(yè)所有的安全,主要解決了從終端到資源之間的訪問和權(quán)限控制、網(wǎng)絡(luò)的傳輸、攻擊的隔離與防護方面存在的安全問題。

 

 

零信任的技術(shù)價值來自其各組件的實現(xiàn),下面讓我們來看看幾個關(guān)鍵組件的技術(shù)是怎樣實現(xiàn)的,它們各自存在的意義又有哪些。

 

 

軟件定義邊界(SDP)技術(shù)

 

SDP應(yīng)該是零信任里最讓人感興趣的技術(shù)之一,原因來自VPN,我們知道VPN其實就是一個網(wǎng)關(guān)認證,認證通過后就一馬平川,導(dǎo)致詬病比較多,認證成功后就像建立了一座橋,并不關(guān)心過橋的人來自哪,想去哪,想干嘛?網(wǎng)絡(luò)身份是解決了,但這身份卻不一定與業(yè)務(wù)相關(guān),這就導(dǎo)致身份不統(tǒng)一,需要重復(fù)認證,如果業(yè)務(wù)中沒有統(tǒng)一身份與認證系統(tǒng),也就意味著有N個業(yè)務(wù)系統(tǒng)就需要提供N個重復(fù)認證,這還只是身份識別問題,其他的問題就更復(fù)雜了,而這又是業(yè)務(wù)安全中經(jīng)常遇到的,解決的方式往往以類似打補丁的方式,并沒有一個統(tǒng)一的編排和調(diào)度機制,各種解決方案自然就五顏六色了,安全性難以得到保障。

 

SDP技術(shù)并不是要完全取代VPN,從網(wǎng)絡(luò)層來講其實是VPN技術(shù)的進化,SDP中的網(wǎng)絡(luò)層隧道加密技術(shù)完全可以采用VPN來完成,在此基礎(chǔ)之上再實現(xiàn)微隧道建立,完成端對端的加密方式和流量的完全隔離,當(dāng)然SDP在建立網(wǎng)絡(luò)層加密隧道之前是需要完成設(shè)備與用戶同時認證的,否則無法建立網(wǎng)絡(luò)層加密隧道,這個就解決了你是誰,從哪里來的問題。對訪問者的身份和終端環(huán)境做了全面的鑒定,這塊對邊緣的身份安全有著廣泛的意義。

 

零信任架構(gòu)是一組服務(wù)的集合,提供了一套完整的安全解決方案,把各個安全組件服務(wù)從點到面進行了覆蓋,類似于手機中的蘋果,各組件實現(xiàn)的技術(shù)并沒有新穎的地方,但整合在一起卻是令人耳目一新,所以說個體是否完美不重要,只要組合完美就可以了,在這點上,零信任技術(shù)得到完美詮釋。

 

 

 動態(tài)細粒度授權(quán)技術(shù)

 

前面提到訪問者是誰和來自哪的問題已被SDP解決,那么要去哪,想干嘛的問題就交給了零信任的動態(tài)細粒度授權(quán)組件來解決,這個組件的技術(shù)實現(xiàn)意義有兩個,一個解決是授權(quán)的顆粒問題;二是解決授權(quán)的動態(tài)問題。我們知道一般的系統(tǒng)都是有認證系統(tǒng)的,通過身份識別后獲得相應(yīng)的訪問權(quán)限,而這里的權(quán)限基本上事先配置好的,如果有變化則需要再次配置,無法做到動態(tài)化;另外,權(quán)限的顆粒度也是用組或角色與系統(tǒng)菜單或功能關(guān)聯(lián)來完成,無法做到根據(jù)用戶信息的不同而不同,如果再要求返回的信息都要做到根據(jù)每個用戶擁有各自隱私數(shù)據(jù),對于基于角色的顆粒度授權(quán)模式來說就非常復(fù)雜而難以維護。

 

零信任的技術(shù)解決方式是通過細粒度動態(tài)授權(quán)的實現(xiàn)來解決這些問題,動態(tài)授權(quán)里包含了策略和風(fēng)險評估,策略是通過屬性進行的決策服務(wù),因此,屬性是權(quán)限顆粒度的單元,而基于屬性的授權(quán)模式很容易解決角色模式無法解決的問題,這是因為所有的信息都來自屬性,只需要根據(jù)策略決策的結(jié)果是否允許即可,這個請求策略決策動作的過程也就是動態(tài)授權(quán)了。這樣,業(yè)務(wù)的兩個安全問題就得到了很好的解決。基于屬性的決策與評估對以后邊緣的訪問安全有著參考意義。

 

 

微隔離技術(shù)

 

“城門失火,殃及池魚”,為了解決這個問題,零信任進行了流量隔離,采用了網(wǎng)絡(luò)微隔離技術(shù),為了解決流量劫持和減少被侵入業(yè)務(wù)系統(tǒng)帶來的橫向影響,零信任的訪問采用在網(wǎng)絡(luò)加密隧道里實現(xiàn)端對端的加密技術(shù),網(wǎng)絡(luò)加密隧道可以容納多個端對端的子隧道來保障各子隧道的獨立性,避免出現(xiàn)流量劫持和網(wǎng)絡(luò)的侵入,而網(wǎng)絡(luò)加密隧道是虛擬的,可根據(jù)業(yè)務(wù)的請求實現(xiàn)動態(tài)化,這樣不僅解決了被侵入業(yè)務(wù)系統(tǒng)的橫向影響,也同時解決了業(yè)務(wù)系統(tǒng)的負載均衡問題。這個就是微隔離存在的意義,應(yīng)對攻擊建立了完整的防御體系。

 

以上是零信任里最關(guān)鍵的三個技術(shù)實現(xiàn),也是零信任的三大服務(wù)組件。除此之外,零信任還包含其他許多組件,而其中的統(tǒng)一身份與認證則是基礎(chǔ)組件,從邊緣安全到網(wǎng)絡(luò)安全,從訪問授權(quán)到資源安全,零信任已有相應(yīng)的技術(shù)實現(xiàn)方案,是一個從點到面的完整而全面的技術(shù)實現(xiàn)過程。

 

圖片

從整體技術(shù)的實現(xiàn)來講,尤其在邊緣安全的保護與訪問,網(wǎng)絡(luò)安全與隔離,對未來的區(qū)塊鏈中的節(jié)點安全、物聯(lián)網(wǎng)的智能終端安全都有很好的借鑒意義。如果零信任技術(shù)的實現(xiàn)是基礎(chǔ),那么意味著后續(xù)更多更廣泛的新技術(shù)可能即將到來,也許這才是它的技術(shù)價值所在。