在介绍零信任网络架构之前,我们先了解信息产业发展的历史和阶段,然后会比较容易理解零信任网络架构产生的缘由。
信息产业的四个阶段与所对应的网络安全格局:
一、基础信息化阶段:电脑的普及,OA,无纸化办公 – 终端安全时代,黑名单制度(收集病毒的特征,制作成一个光盘,然后去杀毒) – 事件驱动
二、移动互联网阶段:服务于消费类的业务大发展,眼下阶段 – 边界防护时代,白名单制度,防火墙,入侵检测(病毒已足够多,事后收集已经远远不够。所以只给经过验证的放行) – 合规驱动
三、物联网阶段:接入终端的设备数量几何式增长。网络攻击、漏洞会备受关注 – 大数据安全时代,大数据驱动安全,进行态势分析,网络无边界 – 需求驱动
四、智能化阶段:网络安全变成基础设置 – 架构安全时代,IT架构越来越无边界,访问需求越来越复杂化,所以考虑基于业务的安全。零信任安全。 – 能力驱动
什么是零信任
零信任假定所有身份、设备、行为都是不安全的,无论是来自内部的,外部的,即便以往被信任过,也都要假定其不安全。因此需要全程安全验证,访问需求在哪里,安全验证就要在哪里。
零信任架构不做任何信任假定、不相信任何身份、随时检查、防范动态范围、做最坏的打算、只给最小的权限(最小授权,把权限控制在不影响业务的最小范围)。零信任希望达到的目标:可使用、看不见、拿不走、可追溯、能销毁。
零信任架构的技术支持
SDP,软件定义边界。SDP在访问者和资源之间,建立临时并单一的“业务 访问隧道”,把业务对未授权的用户完全屏蔽,即便是获得授权的用户,也只是能使用资源,却不知道资源的具体位置。 – 构造访问通道
MSG,微隔离技术。之前的防护可能是比如对数据中心层面的边界防护,在零信任时代,对于数据中心内部更加细分,分割细化到服务器之间、虚机之间、pod之间,从而便于增加更细化的访问控制权限。 – 精准切割资源
IAM,增强型身份认证与访问管理。IAM提供持续的动态认证和持续的动态授权。 – 强化身份检查