導語:
零信任這個詞自從被提出來,就被各行業所追捧,很多大公司也很早的進入了實踐。零信任以“持續驗證、永不信任”的理念徹底顛覆了基于邊界的傳統安全防御模型,能夠有效幫助企業在數字化轉型中解決曾經難以解決的難題。
零信任是什么?
我們該如何理解零信任呢?網民在使用互聯的時一定遇到過各種驗證方式,如短信、圖形、人臉識別等。但是以上的這些都是傳統意義上的單次登錄、默認信任的方式。但是零信任則不同,它默認來自互聯網內外的任何用戶及設備都是不可信的,并要求任何用戶及設備在試圖發起訪問請求之前,都必須經過身份驗證和授權。
與此同時,用戶被授予的權限是按最小化分配原則進行分配的,值得注意的是,基于零信任的身份驗證是動態且持續的,訪問過程中一旦安全檢測出問題,用戶及設備將隨時被切斷訪問。可以這樣說,在零信任安全的架構下,用戶是“全面身份化”的。
零信任安全的本質是什么?
為什么在零信任安全架構下,用戶要全面身份化呢?這就要從零信任安全的本質說起了。零信任其本質是以身份為中心的動態訪問控制。
零信任安全架構思的核心思想是:默認情況下不應該信任網絡內部和外部的任何人/設備/系統,需要基于認證和授權重構訪問控制的信任基礎,從網絡中心化走向身份中心化,其本質就是身份為中心進行訪問控制。
如貝銳旗下的蒲公英零信任架構就是主要通過對訪問身份權限的動態管控,對訪問成員持續進行信任評估和動態的訪問控制,最終實現業務安全訪問,其核心實踐包括:
1、以身份為中心
通過身份治理平臺實現設備、用戶、應用等實體的全面身份化,從0開始構筑基于身份的信任體系,建立企業全新的身份邊界。
2、業務安全訪問
所有的業務都隱藏在零信任可信接入網關之后,只有認證通過的設備和用戶,并且具備足夠的權限才能訪問業務。
3、動態訪問控制
訪問控制需要符合最小權限原則進行細粒度授權,基于盡量多的屬性進行信任和風險度量,實現動態自適應訪問控制。
零信任安全的基石是什么?
在零信任安全架構下,身份是為訪問控制服務的。因此,需要對參與訪問控制的各主體、客體進行全面身份化,這就是零信任安全的基石。全面身份化包括:用戶、設備、應用和接口等都需要具備唯一的數字身份。
為什么要進行全面身份化?這是因為,在傳統的信息系統和網絡世界中,人、機是主要的參與實體,機器大多可以通過機器名、網絡地址等進行標識,而為了實現記賬和訪問控制等功能,人也需要一個標識,那就自然而然的為每一個人在系統中創建一個賬號,并將這個賬號等同于數字身份。
如今這個狹義的身份范疇已經跟不上時代了,至少包括如下兩個方面:
1. 身份的實體范疇不僅僅是人
2. 身份不等同于賬號
在現代身份治理框架下,核心邏輯之一就是關注身份、賬號、權限三個平面及其映射關系:為物理世界的人/物創建數字身份并關聯對應的身份生命周期管理流程、梳理關聯各業務系統賬號和身份的屬主關系、控制各個賬號的權限分派實現基礎授權。
企業實施零信任有什么好處?
01管控風險
零信任戰略與實施可以幫助企業降低運營風險。零信任的永不信任始終驗證思路和機制,不論是較難防的APT高級持續威脅還是內鬼管理員,因此有效地降低了總體安全風險。
02降低成本
零信任模式大大降低了安全事件的數量,使得企業能夠節約時間與人力資源來迅速恢復少數的安全事件。總體來講,實施零信任的企業所降低的成本可能會足以彌補其對零信任的投入。
03業務敏捷
零信任擯棄了靜態邊界防御的慢速與不方便的檢查,安全不再是業務的絆腳石,業務能更快上線或更快地讓用戶使用到,給用戶帶來更好的安全體驗。
04安全合規
零信任的動態防御思路與新出臺的重要安全法律、法規、標準的動態防御思路不謀而合。
05有效控制
在實施零信任的企業中,IT部門可以獲得對企業資源更有效的控制,不論資源是分布在企業內部各部門,還是在公有云、混合云,多云環境中。
06改善管理
對于那些在數字化轉型過程中依賴軟件與應用的組織機構,零信任不僅通過可視可控使各部門的負載與應用便于被管理,而且還能更好地適配業務的優先級,并減少各組織部門之間的工作摩擦。
零信任的企業實踐-蒲公英
如今,企業對于零信任的需求越來越旺盛,貝銳旗下蒲公英SD-WAN的零信任安全網絡訪問解決方案在實踐得到了認可,我們可以看其在應用場景中的特色。
1、遠程移動辦公
移動辦公讓外部訪問量激增,而企業訪問邊界的模糊化和訪問設備的可信度管控缺失,導致企業數據安全面臨較大挑戰。蒲公英基于SD-WAN的零信任安全訪問就能快速接入,重建企業網絡訪問邊界,加強網絡安全。
2、混合云業務部署模式下的數據安全保障
大部分企業的業務部署選擇混合云的方式,內網數據外網訪問難,外網數據安全保障難已成為大多企業的難題。零信任提倡對于所有身份進行授權訪問,并動態監控授權身份的訪問行為,所有帳號無差別信任與認證,保障網絡安全訪問。
3、數字化轉型趨勢下重塑企業安全邊界
企業數字化轉型已成為必然的趨勢,這種情況下,業務平臺及員工身份屬性的多樣化將越來越強烈。蒲公英基于SD-WAN的零信任在此基礎下可重塑信任體系及訪問策略,有效內外訪問成員的安全屬性進行監控。
總結下來,蒲公英的零信任解決方案對于企業的價值在于:快速部署,簡單運維;高性價比,降本增效;加快企業數字化轉型;統一策略管控中心;基于身份安全,內外防御。
零信任,不是沒有信任,而是基于數字身份更安全地訪問需要被防護的數字資源。實施零信任的目標也從來不是把企業的安全事件降為零,而是為了讓企業能更好地平衡安全與業務,在數字化轉型中,安全與發展雙輪驅動不致掉隊。
