零信任概念
2010 年,原 Forrester 副总裁兼分析师,现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任,始终验证”思想提出零信任模型 Zero Trust Model,零信任概念开始得到业界关注并被广泛认可。当下,信息技术已经融入到我们日常生活中,每一个现代公民,应当了解零信任的基本概念。
定义与概念
软件定义边界 SDP
零信任 ZT
零信任 Zero Trust 这个词本身的定义,通俗易懂:在通过认证之前不信任任何人、设备、应用。人、设备、应用是信息活动中、具备身份标识的主体。零信任的指导思想是永不信任,始终验证。
(福利推荐:阿里云、腾讯云、华为云服务器最新限时优惠活动,云服务器1核2G仅88元/年、2核4G仅698元/3年,点击这里立即抢购>>>)
《零信任网络: 在不可信网络中构建安全系统》一书,提出了零信任的五个基本假设(所有零信任安全解决方案都是基于这五个基本假设):
- 网络无时无刻不处于危险的环境中。
- 网络中自始至终存在外部或内部威胁。
- 网络的位置不足以决定网络的可信程度。
- 所有的设备、用户和网络流量都应当经过认证和授权。
- 安全策略必须是动态的,并基于尽可能多的数据源计算而来。
零信任网络 ZTN
零信任网络定义,对应到五个基本假设中的前3个。
零信任网络访问 ZTNA
零信任网络访问,是指客体(人、设备、应用)透过零信任网络,访问企业的资源。零信任网络访问的定义,对应五个基本假设的后2个。
零信任安全架构 ZTA
基于零信任理念,制定企业的安全治理架构,称为零信任安全架构 Zero Trust Architecture。
当前业界对零信任安全架构的定义,是美国国家标准技术研究所NIST 在 NIST.SP.800-207草案中的定义:
零信任安全架构ZTA提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。
软件定义边界 Software Defined Perimeter
2013 年,云安全联盟 CSA 提出 SDP(Software Defined Perimeter)软件定义边界,成为零信任的第一个解决方案。云安全联盟 CSA 的SDP组编写并发布了SDP Spec1.0。
SDP的基本原则是ABCD:
- A: 不假设任何事(Assume nothing)
- B: 不相信任何人(Believe nobody)
- C: 检查所有内容(Check everything)
- D: 阻止威胁(Defeat threats)
谷歌BeyondCorp
零信任第一个商业实现,是由谷歌完成的。
2014年开始,谷歌基于其内部项目BeyondCorp的研究成果,发表了多篇论文,阐述了谷歌如何在其内部为员工构建零信任架构。
- 概览:“以全新方式保障企业安全”
- Google 是怎么做到的:“从设计到在 Google 部署”
- Google 的前端基础架构:“访问代理简介”
- 迁移至 BeyondCorp:“在提升安全性的同时保持工作效率”
- 人的因素:“用户体验”
- 保护端点:“构建运行状况良好的机组”
谷歌已经将BeyondCorp的成果,孵化成为谷歌云GCP的一项云服务Beyondcorp Enterprise,开放给其他企业使用。BeyondCorp的目标是让所有员工不需要使用VPN,也能透过不受信任的网络安心处理工作。
服务提供商
零信任网络接入SaaS/PaaS服务提供商
- Akamai: Enterprise Application Access (企业应用程序访问)
- Cato Networks: Cato Cloud (Cato 云)
- Cisico: Duo Beyond (由思科收购)
- CloudDeep Technology(仅限中国): DeepCloudSDP
- CloudFlare: CloudFlare Access
- InstaSafe: Secure Access
- Meta Networks: Network as a Service Platform
- New Edge: Secure Application Network
- Okta: Okta身份云(收购ScaleFT)
- Perimeter 81: Software Defined Perimeter
- SAIFE: Continuum
- 赛门铁克: Luminate
- Verizon: Vidder Precision Access
- Zscaler: Private Access
零信任网络接入独立软件提供商
- BlackRidge Technology: Transport Access Control
- Certs Networks: Zero Trust WAN
- Cyxtera: AppGate SDP
- Google Cloud Platform: 云身份感知代理(云IAP)
- Microsoft: Azure AD Application Proxy
- Pulse Secure: Pulse SDP
- Saft-T: Software-Defined Access Suite
- Unisys: Stealth
- Waverley Labs: Open Source Software Defined Perimeter
- Zentera Systems: Cloud-Over-IP(COiP) Access
Reference
Gartner-零信任架构及解决方案
cyberark
软件定义边界(SDP)和零信任
转载请注明原文链接:零信任概念
你还在原价购买阿里云、腾讯云、华为云、天翼云产品?那就亏大啦!现在申请成为四大品牌云厂商VIP用户,可以3折优惠价购买云服务器等云产品,并且可享四大云服务商产品终身VIP优惠价,还等什么?赶紧点击下面对应链接免费申请VIP客户吧:
相关文章
- 域名需要续费吗
- ECS云服务器初学者体验以及链接流程
- 如何在云服务器上部署docker容器
- 域名AFS.COM以1277万元领跑DN交易榜!
- 域名续费怎么续的
- 服务器使用经验
- 什么域名续费便宜
- ECS的使用及感受
- GRPC: 如何添加 API Tracing(调用链)监控拦截器/中间件?
- 还有三天!混合云建管用一体化升级论坛来啦~
- actionnariat.com小六位数成交!emn.org以8万元易主!
- 飞天加速计划·高校学生在家实践 续费任务
- 研一小萌新的ECS使用体验
- .ART是什么?谁在使用?
- 九成云计算企业分布在企业服务领域 SaaS成投资热点
- 续费任务文章
- GRPC: 如何在 gRPC 服务中自动添加 RequestId?
- 人工智能、物联网、云计算、工业互联网等7个新职业国家标准颁布
- 如何使用Power BI提取数据的真正价值?
- 云计算呼叫解决方案真的能提供更大的灵活性和控制吗?