En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 零信任的技術(shù)價(jià)值

零信任的技術(shù)價(jià)值

文章

2021-03-31瀏覽次數(shù):294

從“存在即合理”的角度來講,任何新事物的產(chǎn)生都有其存在的價(jià)值和意義,無非是時(shí)間的長(zhǎng)短而已,而能夠?yàn)榇蟊娝邮艿牟粌H僅對(duì)目前有意義而且還對(duì)未來也有利的事物。

 

圖片

 

零信任的概念出現(xiàn)的比較早,進(jìn)入國(guó)內(nèi)也就近幾年的事,業(yè)界對(duì)這一直頗有爭(zhēng)議:

第一種說法:零信任沒有方法論,沒有理論依據(jù);

第二種說法:零信任到底是否就是沒有信任;

第三種說法:有了零信任企業(yè)業(yè)務(wù)是否真的安全了?

 

第一種說法大部分來自搞研究的領(lǐng)域,就像加密算法及證書,有根才有分支,順藤摸到根就是依據(jù),這樣才是安全的,沒有依據(jù)的事物怎么來證明是安全的呢?實(shí)際上這是角度的問題,說方法論的大多從技術(shù)實(shí)現(xiàn)來講的,而零信任只是個(gè)概念,是眾多技術(shù)實(shí)現(xiàn)的組合,零信任的眾多組件在采用的技術(shù)就可以通過加密算法和證書來實(shí)現(xiàn);

第二種說法更多是來自字面上的理解,零信任并不是不信任,而是需要提供信任的憑據(jù),之前設(shè)備是無條件信任,而現(xiàn)在零信任只是增加了條件而已;

第三種說的更多是安全方面的深度和廣度問題,而零信任更多的是在一個(gè)點(diǎn)的深度上做到相對(duì)的安全,不可能覆蓋企業(yè)所有的安全,主要解決了從終端到資源之間的訪問和權(quán)限控制、網(wǎng)絡(luò)的傳輸、攻擊的隔離與防護(hù)方面存在的安全問題。

 

 

零信任的技術(shù)價(jià)值來自其各組件的實(shí)現(xiàn),下面讓我們來看看幾個(gè)關(guān)鍵組件的技術(shù)是怎樣實(shí)現(xiàn)的,它們各自存在的意義又有哪些。

 

 

軟件定義邊界(SDP)技術(shù)

 

SDP應(yīng)該是零信任里最讓人感興趣的技術(shù)之一,原因來自VPN,我們知道VPN其實(shí)就是一個(gè)網(wǎng)關(guān)認(rèn)證,認(rèn)證通過后就一馬平川,導(dǎo)致詬病比較多,認(rèn)證成功后就像建立了一座橋,并不關(guān)心過橋的人來自哪,想去哪,想干嘛?網(wǎng)絡(luò)身份是解決了,但這身份卻不一定與業(yè)務(wù)相關(guān),這就導(dǎo)致身份不統(tǒng)一,需要重復(fù)認(rèn)證,如果業(yè)務(wù)中沒有統(tǒng)一身份與認(rèn)證系統(tǒng),也就意味著有N個(gè)業(yè)務(wù)系統(tǒng)就需要提供N個(gè)重復(fù)認(rèn)證,這還只是身份識(shí)別問題,其他的問題就更復(fù)雜了,而這又是業(yè)務(wù)安全中經(jīng)常遇到的,解決的方式往往以類似打補(bǔ)丁的方式,并沒有一個(gè)統(tǒng)一的編排和調(diào)度機(jī)制,各種解決方案自然就五顏六色了,安全性難以得到保障。

 

SDP技術(shù)并不是要完全取代VPN,從網(wǎng)絡(luò)層來講其實(shí)是VPN技術(shù)的進(jìn)化,SDP中的網(wǎng)絡(luò)層隧道加密技術(shù)完全可以采用VPN來完成,在此基礎(chǔ)之上再實(shí)現(xiàn)微隧道建立,完成端對(duì)端的加密方式和流量的完全隔離,當(dāng)然SDP在建立網(wǎng)絡(luò)層加密隧道之前是需要完成設(shè)備與用戶同時(shí)認(rèn)證的,否則無法建立網(wǎng)絡(luò)層加密隧道,這個(gè)就解決了你是誰,從哪里來的問題。對(duì)訪問者的身份和終端環(huán)境做了全面的鑒定,這塊對(duì)邊緣的身份安全有著廣泛的意義。

 

零信任架構(gòu)是一組服務(wù)的集合,提供了一套完整的安全解決方案,把各個(gè)安全組件服務(wù)從點(diǎn)到面進(jìn)行了覆蓋,類似于手機(jī)中的蘋果,各組件實(shí)現(xiàn)的技術(shù)并沒有新穎的地方,但整合在一起卻是令人耳目一新,所以說個(gè)體是否完美不重要,只要組合完美就可以了,在這點(diǎn)上,零信任技術(shù)得到完美詮釋。

 

 

 動(dòng)態(tài)細(xì)粒度授權(quán)技術(shù)

 

前面提到訪問者是誰和來自哪的問題已被SDP解決,那么要去哪,想干嘛的問題就交給了零信任的動(dòng)態(tài)細(xì)粒度授權(quán)組件來解決,這個(gè)組件的技術(shù)實(shí)現(xiàn)意義有兩個(gè),一個(gè)解決是授權(quán)的顆粒問題;二是解決授權(quán)的動(dòng)態(tài)問題。我們知道一般的系統(tǒng)都是有認(rèn)證系統(tǒng)的,通過身份識(shí)別后獲得相應(yīng)的訪問權(quán)限,而這里的權(quán)限基本上事先配置好的,如果有變化則需要再次配置,無法做到動(dòng)態(tài)化;另外,權(quán)限的顆粒度也是用組或角色與系統(tǒng)菜單或功能關(guān)聯(lián)來完成,無法做到根據(jù)用戶信息的不同而不同,如果再要求返回的信息都要做到根據(jù)每個(gè)用戶擁有各自隱私數(shù)據(jù),對(duì)于基于角色的顆粒度授權(quán)模式來說就非常復(fù)雜而難以維護(hù)。

 

零信任的技術(shù)解決方式是通過細(xì)粒度動(dòng)態(tài)授權(quán)的實(shí)現(xiàn)來解決這些問題,動(dòng)態(tài)授權(quán)里包含了策略和風(fēng)險(xiǎn)評(píng)估,策略是通過屬性進(jìn)行的決策服務(wù),因此,屬性是權(quán)限顆粒度的單元,而基于屬性的授權(quán)模式很容易解決角色模式無法解決的問題,這是因?yàn)樗械男畔⒍紒碜詫傩?,只需要根?jù)策略決策的結(jié)果是否允許即可,這個(gè)請(qǐng)求策略決策動(dòng)作的過程也就是動(dòng)態(tài)授權(quán)了。這樣,業(yè)務(wù)的兩個(gè)安全問題就得到了很好的解決。基于屬性的決策與評(píng)估對(duì)以后邊緣的訪問安全有著參考意義。

 

 

微隔離技術(shù)

 

“城門失火,殃及池魚”,為了解決這個(gè)問題,零信任進(jìn)行了流量隔離,采用了網(wǎng)絡(luò)微隔離技術(shù),為了解決流量劫持和減少被侵入業(yè)務(wù)系統(tǒng)帶來的橫向影響,零信任的訪問采用在網(wǎng)絡(luò)加密隧道里實(shí)現(xiàn)端對(duì)端的加密技術(shù),網(wǎng)絡(luò)加密隧道可以容納多個(gè)端對(duì)端的子隧道來保障各子隧道的獨(dú)立性,避免出現(xiàn)流量劫持和網(wǎng)絡(luò)的侵入,而網(wǎng)絡(luò)加密隧道是虛擬的,可根據(jù)業(yè)務(wù)的請(qǐng)求實(shí)現(xiàn)動(dòng)態(tài)化,這樣不僅解決了被侵入業(yè)務(wù)系統(tǒng)的橫向影響,也同時(shí)解決了業(yè)務(wù)系統(tǒng)的負(fù)載均衡問題。這個(gè)就是微隔離存在的意義,應(yīng)對(duì)攻擊建立了完整的防御體系。

 

以上是零信任里最關(guān)鍵的三個(gè)技術(shù)實(shí)現(xiàn),也是零信任的三大服務(wù)組件。除此之外,零信任還包含其他許多組件,而其中的統(tǒng)一身份與認(rèn)證則是基礎(chǔ)組件,從邊緣安全到網(wǎng)絡(luò)安全,從訪問授權(quán)到資源安全,零信任已有相應(yīng)的技術(shù)實(shí)現(xiàn)方案,是一個(gè)從點(diǎn)到面的完整而全面的技術(shù)實(shí)現(xiàn)過程。

 

圖片

從整體技術(shù)的實(shí)現(xiàn)來講,尤其在邊緣安全的保護(hù)與訪問,網(wǎng)絡(luò)安全與隔離,對(duì)未來的區(qū)塊鏈中的節(jié)點(diǎn)安全、物聯(lián)網(wǎng)的智能終端安全都有很好的借鑒意義。如果零信任技術(shù)的實(shí)現(xiàn)是基礎(chǔ),那么意味著后續(xù)更多更廣泛的新技術(shù)可能即將到來,也許這才是它的技術(shù)價(jià)值所在。