专访奇安信身份安全实验室:零信任安全,新身份边界

  • 时间:
  • 浏览:0

今天大家 有幸邀请到了《零信任网络:在不可信网络中构建安全系统》译者奇安信身份安全实验室,来看看大家 的所思所想:

这六篇论文,奇安信身份安全实验室也做了翻译,大家 还都还还都能不能 从网络上免费获取。

美国Verizon公司的《2017年数据泄露调查报告》指出,造成企业数据泄露的导致 主要有两类:一是内外部攻击,二是内内外部威胁。随着网络攻防技术的发展,新型的网络攻击手段层出不穷,攻击者面对层层设防的网络边界,往往会放弃代价高昂的强攻手段,转而针对企业内内外部网络中的计算机,采用钓鱼邮件、水坑攻击等最好的法子渗透到企业网络内内外部,轻松绕过网络边界安全防护最好的法子。导致 大家 往往认为内网是可信任的,有后后攻击者一旦突破企业的网络安全边界进入内网,就会如入无人之境。此外,企业员工、外包人员等内内外部用户通常拥有特定业务和数据的合法访问权限,一旦突然老出凭证丢失、权限滥用或恶意非授权访问等问题,同样会导致 企业的数据泄露。

奇安信身份安全实验室:

结合业界的零信任模型和奇安信在国内大型部委、央企的零信任实践,大家 认为零信任的核心能力包括以身份为基石、业务安全访问、持续信任评估和动态访问控制五个方面的核心能力。

本书也都都还还都能不能 帮助领导者理解零信任模型的基本概念,在零信任模型的实践中做出正确的决策,从而逐步改善组织的整体安全情况汇报。

动态访问控制:动态访问控制是零信任架构的安全闭环能力的重要体现。设置灵活的访问控制基线,基于信任等级实现分级的业务访问,当访问上下文和环境地处风险时,还都还还都能不能 对访问权限进行实时干预并评估不是对访问主体的信任进行降级。

《零信任网络:在不可信网络中构建安全系统》是业界截至目前唯一的一本体系化讲解零信任的书籍。对零信任的背景、核心概念、关键技术要点都做了深入的讲解,一阵一阵是对零信任架构的另五个多多核心术语网络代理和信任引擎做了大篇幅的介绍,全书还围绕用户、设备、应用、网络五个维度深入讲解了信任的建立最好的法子。作者基于一点人的零信任实践和对一点业界厂商的调研写作了此书,内容由浅入深,干货多多,大家 在翻译此书的过程中,真是也是对零信任深入学习的过程,受益匪浅。

大家 学习本书的过程中,建议结合一点零信任相关资料进行对比,比如,Google关于BeyondCorp项目一共发表了六篇论文,完整讲解了BeyondCorp项目的理念、架构和迁移最好的法子等,还都还还都能不能 作为《零信任网络:在不可信网络中构建安全系统》一书的配套资料并肩学习。

零信任的创新之地处于对安全范式的颠覆,驱动安全范式从以网络为基础转变到以身份为基础,实现以身份为基石的动态访问控制体系,其安全价值在于助力企业实现全面身份化、风险度量化、授权动态化、管理自动化的新一代网络安全架构,帮助企业变慢速更安全的采用新型IT技术,支撑企业数字化转型。

译者:奇安信身份安全实验室

奇安信身份安全实验室:

老实说,翻译所需的工作量和难度是超出预期的,翻译团队的伙伴们本着对零信任的淬硬层 热情,在工作之余投入了巨大的精力去进行翻译和校对,在翻译过程中,在搭高铁、坐飞机的碎片时间,都被充分利用起来了,聚沙成塔,最终顺利完成本书翻译。

以身份为基石:还都还还都能不能 为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。

大家 是奇安信身份安全实验室,是专注“零信任身份安全架构”研究的专业实验室。作为奇安信集团下属的创新业务实验室之一,实验室以“零信任安全,新身份边界”为技术思想,对零信任保持着持续关注,并积极地在国内进行零信任理念推广和落地实践,也推出了相关产品与出理 方案。

基于曾经的认知,零信任针对传统边界安全架构思想重新进行了评估和审视,并对安全架构思路给出了新的建议:默认情况汇报下不应该信任网络内内外部和内外部的任何人、设备、系统和应用,有后后应该基于认证和授权重构访问控制的信任基础,有后后这一 授权和信任全是静态的,它还都还还都能不能 基于对访问主体的风险度量进行动态调整。

零信任(或零信任网络、零信任模型等)这一 概念最早是由John Kindervag于2010年提出的,他当时是Forrester的分析师。John Kindervag非常敏锐地发现传统的基于边界的网络安全架构地处过高 ,通常被认为“可信”的内内外部网络充满威胁,“信任”被过度滥用,并指出“信任是安全的致命弱点”。有后后,他创发名了零信任(Zero Trust)这一 概念。“从来不信任,始终在校验”(Never Trust,Always Verify)是零信任的核心思想。

这一 问题很有意思,大家 还是围绕零信任来回答吧。在安全这一 语境下,导致 说传统的安全思维或静态的、边界化的安全产品和方案是安全的“鱼”,没人零信任无疑是安全的“渔”。作为某种内生安全,零信任具备自适应的能力,和客户的业务场景结合,零信任能对访问者的信任程度进行动态度量并实时调整访问策略,对未知威胁的缓解具有很强的自适应性。

“灵光闪现”是还都还还都能不能 少量理论、实践经验来支撑的,导致 没人深厚的物理学知识支撑,把阿基米德老先生丢进浴缸60 次估计也悟找不到浮力原理,创新还都还还都能不能 通过脚踏实地的务实派来完成。零信任理念的突然老出同样全是空想出来时,有后后基于对安全架构的深入理解和对安全发展趋势的淬硬层 洞察才发展出来的。同样,零信任的落地实践有后还都能不能 想当然,纸上得来终觉浅,还都还还都能不能 结合客户场景,结合安全现状推出适合国内实际情况汇报的零信任产品和出理 方案。

零信任毕竟是另五个多多全新的安全理念,某种在持续的发展和完善中,有后后,原作者对零信任的理解也难免有不全面的地方。

奇安信身份安全实验室:

奇安信身份安全实验室:

为了确保翻译质量,对每一章节基本上都经历了逐段翻译、脱稿校对、逐字检查的过程,确保最终成书的信达雅,当然,毕竟经验有限,难免有疏漏之处,还请大家 多包涵并给大家 反馈。

但在此过程中,大家 发现国内的安全界同仁对零信任的概念比较陌生,理解过高 深入,为了加快国内对零信任这一 先进的安全架构的采用,大家 决定对《零信任网络:在不可信网络中构建安全系统》这本书进行翻译。

零信任架构是安全思维和安全架构进化的必然,聚焦身份、业务、信任和动态访问控制等维度的安全能力,而哪此能力和客户的业务密不可分,一点零信任天生就应该是某种内生安全。

零信任的落地还都还还都能不能 结合现状和需求,将零信任的核心能力和组件内嵌入业务体系,构建自适应内生安全机制,建议在业务建设之初进行同步规划,进行安全和业务的深入聚合。

奇安信身份安全实验室:

基于业务场景的人、流程、访问、环境等多维的因素,对信任进行评估,并通过信任等级对权限进行动态调整,这是某种动态自适应的安全闭环体系。

奇安信身份安全实验室:

当然,任何某种新生事物都难免受到大家 的质疑,零信任架构有后后例外。在过去一年多时间推广和实践零信任的过程中,大家 遇到最多的质疑是,零信任听起来并没人哪此新技术,是全是“新瓶装旧酒”?的确,零信任是某种全新的安全架构,但其核心组件基于身份与访问管理技术、终端设备环境风险评估技术、基于属性的访问控制模型、基于机器学习的身份分析技术等构建,听上去并没人太久激动人心的新技术。有后后,零信任的最佳实践反倒是推荐使用现有的成长期期 的句子的句子是什么是什么期 是什么技术,根据具体的应用场景,按照全新的逻辑进行组合,就能起到完整不同的安全效果。

这两年,Forrester也对零信任的理念做了进一步的扩展,提出了零信任扩展ZTX的概念,将零信任从保护范围和安全能力另五个多多维度进行了扩展。

奇安信身份安全实验室:

零信任的早期雏形在60 4年的耶利哥论坛全是所体现了,后后 在2010年Forrester的分析师约翰·金德维格正式提出零信任的概念,金德维格先生基于对网络安全的深入洞察,提出默认不应该信任任何网络流量,有后后还都还还都能不能 基于强认证和细粒度授权来重建信任。

客观地说,John Kindervag提出零信任架构的现在现在开始几年,这一 理念并没人获得网络安全行业的普遍关注,有后后在一点社区有着小范围的讨论和实践,《零信任网络 在不可信网络中构建安全系统》的作者Evan Gilman和Doug Barth有后后早期实践者之一。然而,2015年前后,情况汇报地处了明显的变化。层出不穷的高级威胁和内内外部风险,以及监管机构对企业网络安全的监督力度逐渐加强,使得零信任架构变革的内外部驱动力没人强。随着企业数字化转型的逐渐深入,以云计算、微服务、大数据、移动计算为代表的新一代信息化建设浪潮愈演愈烈,IT基础设施的技术架构地处了剧烈的变革,导致 传统的内外网络边界变得模糊,太难找到物理上的网络安全边界,企业自然无法基于传统的边界安全架构理念构筑安全基础设施。安全架构导致 没人随需应变,自然会成为木桶最短的那块木板,零信任架构变革的内生驱动力也在持续加强。

传统的网络安全架构基于网络边界防护。企业构建网络安全体系时,首先把网络划分为外网、内网和DMZ区等不同的安全区域,有后后在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护,构筑企业业务的数字护城河。这一 网络安全架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备、系统和应用的信任,从而忽视内网安全最好的法子的加强。

零信任提供的自适应的身份安全、业务安全、信任评估、动态访问控制等能力是开放的、平台化的,另五个多多组织还都还还都能不能 将业务逐步迁移到零信任,迁入的业务都将具备这一 自适应的安全能力,曾经零信任就变成了组织业务流程的内生能力,持续为组织的安全赋能。

持续信任评估:通过信任评估引擎,实现基于身份的信任评估能力,并肩还都还还都能不能 对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。

大家 认为零信任的创新和价值恰恰找不到于具体的组件技术某种,而在于架构理念和安全逻辑层面。零信任架构与传统的边界安全架构、传统的安全防护理念最大的不同之地处于以下几点。第一,在网络安全边界瓦解、攻击面难以穷尽的情况汇报下,与传统的安全理念不同,零信任架构引导大家 更加关注“保护面”而全是“攻击面”。首先识别还都还还都能不能 重点保护的资源对象,有后后穷举分析该资源对象的访问路径,最后采用恰当的技术手段做好每条路径的访问控制最好的法子。第二,零信任架构认为网络是不可信任的,有后后不再寄希望于在传统的网络层面增强防护最好的法子,有后后把防护最好的法子建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面;采用智能身份分析技术,提升了内内外部攻击和身份欺诈的发现和响应能力。第三,零信任架构在实践机制上拥抱灰度哲学,以安全与易用平衡的持续认证改进固化的一次性强认证,以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权,以开放智能的身份治理优化封闭简化的身份管理。有后后,灰度哲学是零信任安全的内生逻辑,也是零信任安全实践的指导原则。

2017年,Google对外宣布其基于零信任架构实践的新一代企业网络安全架构——BeyondCorp项目成功完成,为零信任在大型、新型企业网络的实践提供了参考架构。这一 最佳实践成为零信任理念的助推剂,各大安全厂商、分析机构和大型企业快速跟进,对零信任的推广和宣传也持续升温,在RSAC 2019展会上达到高潮,零信任俨然成为网络安全界的新宠。

业务安全访问:零信任架构关注业务保护面的构建,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权。

奇安信身份安全实验室:

奇安信身份安全实验室:

网络工程师、安全工程师、软件工程师、CTO、CISO等,每一点人都还都还还都能不能 从零信任模型的学习中受益。即便没人相关的专业背景知识,也还都还还都能不能 很容易地理解本书描述的一点原则。

作者:【美】埃文·吉尔曼(Evan Gilman),道格·巴斯(Doug Barth)

保护网络的边界安全防御最好的法子不必如大家 想象中没人牢不可破。防火墙保护之下的网络主机自身的安全防护非常弱,一旦“可信”网络中的某个主机被攻陷,没人攻击者变慢就能以此为跳板,侵入数据中心。为出理 传统边界安全模型固有的过高 ,本书为读者介绍了零信任模型,该模型认为整个网络无论内外全是不安全的,“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。

推荐理由:

奇安信身份安全实验室:

- END -

但在零信任概念推出的前几年,业界并未对其广泛关注,2017年是个分水岭,导致 2017年,Google基于零信任的全新安全实践BeyondCorp项目取得成功,验证了零信任在大型网络场景下的可行性,业界受到Google BeyondCorp项目的鼓舞,现在现在开始大力跟进和开展零信任实践。