零信任不是一个产品,零信任一个战略,旨在防止数据泄露。
-John Kindervag
零信任是近几年尤为火热、备受关注的焦点,虽然由来已久,而得到市场的诸多认可却是头一次。一切都源于零信任的独特魅力!
11月3日,第三届国际零信任峰会暨首届西塞论坛在浙江湖州成功举行。50+高端专家学者、150+行业精英齐聚浙江湖州西塞科学谷“共话零信任”,探讨零信任理念、应用实践等众多干货内容。在高端对话中,云安全联盟CSA大中华区零信任工作组组长陈本峰与零信任之父/国际云安全联盟CSA安全顾问John Kindervag进行了“一对一对话”,正本溯源,明确了零信任的历史及准确定义:零信任是安全战略,是一把手工程!
近两年,众多零信任安全厂商基于零信任理念研发设计了各具特色的产品,期望通过自身努力为网安建设舔砖加瓦。尽管如此,仍有很多人对于零信任的认知出现了一些偏差,或者不成熟,对于它是理念、技术还是产品具有不确定性。其实通过上面的对话我们就可以明确零信任远不是大家认知的形象。
零信任如何而来?提及零信任的由来,其实需要追溯到二十一世纪初。当时,John Kindervag在安装防火墙时,发现了不可置信的安全缺陷,也正因如此才有了零信任这个新的理念。
防火墙有信任和非信任的体系,其工作原理是如果数据包从一个不信任的网络移动到另一个受信任的网络,它需要被防火墙规则校验;一个数据包从一个受信任的网络移动到另一个不受信任的系统,它就不需要任何防火墙规则校验,这其实是有安全缺陷的。因为,如果攻击者一旦攻入了网络,便可以轻松获取数据并将其发送到外部,安全隐患极大。正因如此,John Kindervag创立了零信任理念,本意网络中每一个系统的信任等级都需要为零,从根本上消除数字系统中信任的概念。
零信任到底是什么?根据国际法规,当敏感数据从我们的系统网络中被窃取或泄露,落入恶意攻击者手中,这就是数据泄露的定义。数据泄露的事件频发、愈演愈烈,只是传统的防火墙、反病毒软件、入侵检测等信息安全防护措施,已难以独立应对。值得庆幸的是,在IT新技术迅速变化的新生态中,零信任理念脱颖而出。
零信任之父John Kindervag表示,零信任不是一个产品,是一种安全战略,它通过产品来实现战略。它首先旨在阻止数据泄露,同时也旨在阻止其它类型的网络攻击成功。因为面对世界上各种各样的攻击,我们无法攻击攻击者,所以我们无法阻止攻击的发生,但我们可以阻止攻击的成功,这是零信任可以做到的。尤其是在云计算上云时代,云上系统更需要零信任,以实现云上业务系统安全。
“零信任五步法”模型有哪些?放在生活中,假如我们去旅行,首先我们需要一张地图;同理,在安全建设中也有一张零信任安全地图,就是“零信任五步法”模型。遵循此模型,可以更好的完成零信任安全战略的落地实施。
第一步:定义保护面!众所周知,保护面是攻击面的反面,在安全建设前,需要整理所有的攻击面,并将其收缩到非常小且易于了解的状态。
第二步:映射事务流。了解各个系统之间是如何作为一个整体系统进行协同工作的,这样子才可以针对性的制定安全防护策略。
第三步:安全网关。零信任安全网关是零信任架构最核心的部分,通常部署在网络入口或应用服务前端,分隔用户和资源,对所有流量强制执行访问控制策略。也就是说安全网关通过判定是否合法,再决定是否可以进入。
第四步:构建策略。持续评估访问权限并做出动态访问决策,设定企业员工、合作伙伴对应用和资源的访问权限,从而对人和设备进行检测和管控。
第五步:动态授权。这是零信任安全建设中的终极目标,通过访问全程的风险评估和行为分析,不断的调整身份对应权限。
关于零信任安全的更多,大家可以观看上面的视频。总体而言,零信任安全是云安全的未来趋势,它确实解决了传统安全的边界安全问题。
云至深深耕零信任安全多年,基于零信任理念中的SDP技术构建了成熟的产品体系,在行业和应用场景中也有了完善的解决方案,帮助金融、运营商、教育、交通、医疗、能源等行业客户解决了远程内网访问、业务系统安全上云等众多安全需求。同时,云至深创始人兼CEO作为云安全联盟CSA零信任工作组组长带领制定了《CISO研究报告:零信任的部署现状及未来展望》、《NIST零信任架构(正式版)》、《软件定义边界和零信任》、《实战零信任架构》、《基于SDP与DNS融合的零信任安全增强策略模型》等白皮书和《零信任安全从入门到精通》该书籍,为零信任安全产业发展贡献力量。
未来,云至深将继续完善更符合客户需求的产品和解决方案,为网安的发展夯实安全底座,为企事业单位的信息安全建设助力!
