联享懂营销的专业网站设计制作公司

什么是零信任网络

2023-03-14 围观热度 1263技术推荐

零信任网络的概念建立在以下5个基本假定之上。

• 网络无时无刻不处于危险的环境中。

• 网络中自始至终存在外部或内部威胁。

• 网络的位置不足以决定网络的可信程度。

• 所有的设备、用户和网络流量都应当经过认证和授权。

• 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

传统的网络安全结构把不同的网络(或者单个网络的一部分)划分为不同的区域,不同区域之间使用防火墙进行隔离。每个区域都被授予某种程度的信任,它决定了哪些网络资源允许被访问。这种安全模型提供了非常强大的纵深防御能力。比如,互联网可访问的Web服务器等高风险的网络资源,被部署在特定的区域(一般称为“隔离区”, DMZ),该区域的网络流量被严密监控和严格控制。这是一种常见的网络安全架构,如图1-1所示。

零信任模型彻底改变了这种安全架构。传统的网络分区与隔离安全模型在过去发挥了积极作用,但是现在却疲于应对高级的网络攻击。传统的安全模型主要有以下缺点。

• 缺乏网络内部的流量检查。

• 主机部署缺乏物理及逻辑上的灵活性。

• 存在单点故障。

需要关注的是,如果基于网络位置划分区域的需求消失了,那么对VPN的需求也就消失了。VPN的作用是对用户进行身份认证并分配IP地址,然后建立加密的传输隧道。用户的访问流量通过隧道传输到远程网络,然后进行数据包的解封装和路由。或许人们从来没有想过,在某种程度上,VPN是一种不会遭人怀疑的后门。

如果网络的位置对于网络安全失去价值,那么诸如VPN等网络安全设备也会失去其原有的价值。当然,这也迫使我们把安全控制的实施点尽可能地前推到网络边缘,这同时也减轻了网络核心设备的安全责任。此外,大多数主流的操作系统都支持状态防火墙,交换和路由技术的进展也为在网络边缘部署高级功能创造了机会。将所有这些改变带来的收益汇集在一起,得出一个结论:是时候进行网络安全架构的范式转换了。

利用分布式策略实施和应用零信任原则,可以构建如图1-2所示的网络安全架构。

零信任的控制平面

零信任架构的支撑系统称为控制平面,其他部分称为数据平面,数据平面由控制平面指挥和配置。访问受保护资源的请求首先经过控制平面处理,包括设备和用户的身份认证与授权。细粒度的控制策略也在这一层进行,控制平面可以基于组织中的角色、时间或设备类型进行授权。

如果用户需要访问安全等级更高的资源,那么就需要执行更高强度的认证。一旦控制平面完成检查,确定该请求具备合法的授权,它就会动态配置数据平面,接收来自该客户端(且仅限该客户端)的访问流量。此外,控制平面还能够为访问请求者和被访问的资源协调配置加密隧道的具体参数,包括一次性的临时凭证、密钥和临时端口号等。

虽然上述措施的安全强度有强弱之分,但基本的处理原则是不变的,即由一个权威的、可信的第三方基于多种输入来执行认证、授权、实时的访问控制等操作。


  • 7x24

    全国售后支持123

  • 14

    14年行业服务经验

  • 26

    全国售后支持

  • 200

    超百人设计、研发团队

  • 2

    服务企业客户2万家

  • 9

    连续9年守合同重信用企业

关于我们
广州联享信息科技有限公司成立于2011年,是成熟的企业互联网解决方案服务商。致力于帮助每个企业实现互联网智能经营。截止目前,联享科技在全国设有26家分公司,拥有员工200余人,总公司现设有客服事业部、运营事业部、网络事业部、行政事业部四大职能部门...
联享科技已覆盖互联网主要城市
目前总部设立于广州,并在深圳、上海、北京、杭州、长沙、武汉、郑州、石家庄等全国26座城市设有分公司及30余家核心城市代理,更多城市正在筹建中,敬请期待

Copyright © 2007-2022 联享信息科技有限公司(a020.cn)版权所有

常年法律顾问:广东梵意律师事务所 周乙飞律师(主任)