请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
云计算、物联网、移动办公等新技术与业务的加速融合,让传统网络边界逐渐变得模糊,传统边界防护手段已不足以有效应对新时代的威胁与挑战。



在此背景下,以“从不信任、始终验证”为核心原则的零信任概念应运而生,并迅速成为热门话题。尽管本届RSAC大会的主题是“弹性”,但如果稍作统计就会发现:零信任是当之无愧的关注焦点,相关议程多达30余个。



本文我们将基于咨询公司Gartner与Forrester的看法,结合RSAC大会中的零信任议题,与读者共同探讨:数字新时代,“零信任”安全模型如何“与狼共舞”。



启程篇:零信任概念大潮初起



2010年,Forrester首席分析师JohnKindervag首次提出“零信任”概念。其核心思想是默认不信任任何人和设备,经过验证后才能被允许访问资源和应用。其重要原则包括先认证再访问、最小权限、访问行为持续评估、多因素风险确认、根据风险动态调整安全策略等。



自2018年起,Forrester又将零信任概念扩大为“零信任扩展(ZTX)生态系统”,视角从网络防护扩展到用户、设备、网络、应用、数据、分析、自动化等安全生态领域。




360社区

360社区


图-零信任扩展(ZTX)生态系统的七大支柱




综合来看,零信任是一套思想理念,是一种安全访问模型(零信任访问模型),是一个企业安全架构(零信任架构),是一个安全生态系统(零信任扩展生态系统),可以说零信任引发了安全领域的思维转变:



从“以网络为中心”转变为“以数据为中心”。零信任本质上是围绕着关键数据/资源/业务开展的,只要有数据流动的地方,都适用零信任管控思想。



从“以网络为边界”转变为“以身份为边界”。传统边界模型用一道物理边界划分出内、外网,看似简单,实则粗糙。零信任则以身份构筑新边界,重建了边界的有效性。在零信任中,边界并没有消失。只是对边界的认识已经演变,从物理边界转变为虚拟边界。


从“由外到内”转变为“由内到外”。传统的边界防御模式,主要采取了从外到内的方法,即是针对外部攻击的防护,主要关注的是攻击面。而零信任作为一种从内而外的保护方式,必须弄清楚什么对我的业务/使命是重要的,而这被称为保护面,需要确保在保护面周围,有细粒度控制、可见性、保护措施。



从“隐式信任”到“显式信任”。传统边界模型的最大问题是过大的隐式信任区,即整个内网环境都是隐式信任区,导致对手一旦攻破边界就通行无阻。而零信任的核心目的就是要消除“隐式”信任区,所有的信任应该通过信任评估“显式”赋予,这也是零信任贯彻“最小权限”思想的反映。



从“允许所有”转变为“拒绝所有”。这种转变类似于从黑名单到白名单。传统的安全模式类似黑名单方式——“允许所有、拒绝例外”,即允许绝大多数网络访问,仅拒绝少数例外情况;而零信任的安全模式类似白名单方式——“拒绝所有、允许例外”,即拒绝大多数网络访问,仅允许少数例外情况,而这少数“例外”情况正是经过认证和授权的合法访问。



从“一次认证”转变为“持续评估”。在传统边界模型中,一旦突破网络边界,就可以在内部自由穿梭,这正是静态认证和过度信任导致的结果。而零信任采取持续性评估的方式,即便是攻击者窃取了合法用户的凭证,访问到数据和资源,也可以通过持续监测和评估访问行为模式的方式,来分析和识别出行为异常,进而发起审计告警、重新认证或强制阻断。





发展篇:SASE——通往边缘零信任之路



2019年末,Gartner在《网络安全的未来在云端》报告中提出面向未来的SASE(安全访问服务边缘)概念,开辟出边缘安全的新天地。本届RSAC上,Cisco在《GettingStarted With SASE Connect Control and Converge With Confidence》报告中的一张图,非常形象地说明了SASE的含义:



360社区

360社区


图-Cisco对SASE的名称解读




可以看出:



SASE是集网络安全服务、下一代广域网、边缘计算于一体的云交付网络。

SASE愿景的实现需要以安全、网络、订阅、云四大战略为基础。

SASE的难点:在SASE的主要组成要素中,全球性分布式的边缘部署在实操层面中是最难的,而这也意味着对客户传统网络架构的重构。





对于零信任与SASE二者之间的区别,本届RSAC大会上,趋势科技在《混合云的零信任挑战:真相与神话》(The Zero Trust Challenge for Hybrid Cloud: Truths vs Myths)议题中,对此做了解释:



360社区

360社区


图-SASE和零信任的对比




简单来说, SASE是零信任模型的一种形式,相当“边缘零信任“。



2021年1月,Forrester在发布的《为安全和网络服务引入零信任边缘(ZTE)模型》报告中,在上述理念的基础上,正式提出了ZTE(零信任边缘,Zero Trust Edge)概念。



Forrester在该报告中指出,零信任主要有两类概念:



一是数据中心概念:即资源侧的零信任。

二是边缘概念:即边缘侧的零信任访问安全。而这正是ZTE(零信任边缘)。






360社区

360社区




对于这一模型,Forrester在《将安全带到零信任边缘》报告中解释说:零信任边缘(ZTE)模型与SASE模型是相似的。而主要区别在于:零信任边缘模型的重点在零信任。



我们姑且将ZTE与SASE统称为“边缘安全”。既然ZTE与SASE相似,为什么Forrester还要提出ZTE?我们认为,Forrester希望把零信任边缘(从而也就把SASE)作为零信任的重要场景,纳入零信任版图。



当然,我们认为,ZTE和SASE还有一些显著区别:



耦合性区别:SASE强调网络和安全紧耦合,所以要求单一提供商提供全套SASE产品;ZTE强调网络和安全解耦,认为可以多个供应商集成。

路线区别:SASE强调网络和安全同步走;ZTE强调零信任先行,网络重构滞后。

名称区别:SASE强调安全访问;ZTE强调零信任访问。





综上,Forrester先提出了零信任,Gartner后提出了SASE,最近Forrester又提出了ZTE(零信任边缘)。如果我们把零信任和SASE/ZTE想成一个愿景的不同阶段,将它们相互融合,就可以更好思考如何分步推进的问题。



落地篇:以零信任,重建信任



大安全时代需要新的安全观。重新评估企业安全架构,以零信任重建信任,提升网络安全能力迫在眉睫。在云计算、大数据、物联网、人工智能的浪潮下,网络安全已经到达关键转折点,全球各国正陆续转身、顺势而为。



2020年8月,美国国家标准与技术研究院正式发布NIST SP 800-207零信任架构指南;

2020年10月,英国国家网络安全中心发布《零信任基本原则》草案,为政企机构迁移或实施零信任网络架构提供参考指导。

2021年5月,美国总统拜登发布行政命令以加强国家网络安全,明确指示联邦政府各机构实施零信任方法。美国国防部零信任参考架构也公开发布。





360社区

360社区


图-美国国防部零信任参考架构




反观国内,零信任的实现原则是集中化决策和分布式执行,即由一个决策中心,基于多种信息输入来进行集中化决策。这与360安全大脑基于统一全视大数据的集中分析决策机制是完全一致的。



作为国内最大的网络安全厂商,360政企安全集团充分吸收零信任和SASE模型的优点,并基于十五年深耕安全领域积累的安全大数据、实战型攻防安全专家团队、漏洞挖掘、一线APT狩猎形成的安全知识等核心能力,构建出360数字安全能力体系,持续赋能360连接云平台,提供 “端+管+云+网 ” 一体化的安全解决方案。



360连接云平台基于零信任和SASE理念的新型网络基础设施,可通过全网分布式PoP接入节点,为客户提供基于身份的连接平台和安全订阅服务,使“安全连接一切”成为可能。



360社区

360社区


图-360连接云平台




从“网络边界”到“身份边界”,从“信任”到“零信任”,在这一轮新的网络安全战局中,“与狼共舞”或成常态。而新局之下,数字新时代将如何走向零信任深处?我们拭目以待!


来源    360政企安全

共 1 个关于直击RSAC 2021 |数字安全新时代下,零信任将如何“与狼共舞”?的回复 最后回复于 2021-6-3 17:29

评论

直达楼层

卫士之圣 VIP认证 LV13.中将 发表于 2021-6-3 17:29 | 显示全部楼层 | 私信
看看了吧
来自360手机N6 Lite(360社区3.5.5版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:181 关注:13 积分:237226

精华:307 金币:228579 经验:198159

最后登录时间:2024-3-28

小水滴公测勋章 智能摄像机3C 摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表