ZeroTrust零信任基础

Posted 玛丽莲茼蒿

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ZeroTrust零信任基础相关的知识,希望对你有一定的参考价值。

首先,通俗的理解什么是零信任。
看了美国防部2022年对于网络空间领域(注意,是网络空间不是网络安全)方面的预算后,大概是这么个关系:

也就是说零信任是网络安全的一部分(好像是废话)

前面说的是零信任作用在哪个领域内,我们可以和传统网络安全模型对比着看再来理解一下什么是零信任。在传统边界安全中,防火墙就好比一把锁,如果你有了钥匙(通过了某种访问验证)可以打开这把锁,就放你进入这堵墙的内部,可以说是 “有信任” ,或者说 “开锁以后就无条件信任”。而对于零信任来说,即使你通过了访问认证,还是要对你的行为进行实时监控,所以说是“零信任”

一、零信任的出现

1.1 传统边界安全

1)框架


用户需要层层穿越防火墙才能访问公司内部的服务器资源

1)不安全因素

总的来说,就是访问需求的增加

  • 移动设备增加
  • 云计算需求增加

1.2 零信任的雏形-----Beyond Corp架构

其使命就是替代VPN

最初的目的是让Google的每一位员工可以不借助VPN,穿越不受信任的互联网,顺利开展工作

特点:

  • 公司员工无论是在公司内还是公司外,其IP都可以实现对公司资源的访问
  • 只有在企业的数据库注册过的设备、用户才可以实现访问
  • 端到端的加密传输

1.3 零信任的三大焦点领域

1) 密码被盗
2) 系统漏洞(软件漏洞)没有及时修补
3)IOT设备管控

1.3 零信任架构(目前达成共识)的主要组件

整个零信任的核心组件有两个,PDPPEP

PDP负责对通过安全验证的设备进行“盯梢”(即使是通过了一次安全验证的设备也不信任,也是零信任思想的一种体现)
PEP负责把怀疑对象“拿下

二、华为数通的零信任架构

下面是他的整个框架


对于权限进行动态监测,下图这个比喻用的非常好。动态刷新健康码,不同健康码的人在市内的准许活动范围肯定不一样。

以上是关于ZeroTrust零信任基础的主要内容,如果未能解决你的问题,请参考以下文章

虚拟私有网络正在逐渐消失,取而代之的是零信任

虚拟私有网络正在逐渐消失,取而代之的是零信任

科普:零信任架构基础篇之单点登录

零信任安全

Istio安全基础:在零可信网络上运行微服务

NVIDIA DPU — 零信任网络安全平台