零信任是什么
传统的可信任体系已经不能解决企业快速发展所带来的安全威胁,零信任提出了新的方案建议,重构安全体系。
零信任由 Forrester 首席分析师 John Kindervag于2010 年最早提出,于2017年谷歌BeyondCorp实现零信任架构,其中2014年CSA发布SDP标准规范1.0,从2018年开始进入了发展期,各大厂商进行大力推进零信任架构实现。
那么总结起来,零信任是一种安全理念,而非一种技术或者应用。零信任是基于访问主体身份、网络环境、终端状态、访问行为等尽可能多的信任要素对所有用户进行持续验证、动态授权,零信任的理念是“持续验证,永不信任”,这和传统的区分内外网建立可信边界有本质的差异。
零信任核心技术SDP
零信任的理念和架构,随着实践和环境的变化而发展。那么实现零信任架构需要多个组件进行协调配合,完成身份认证、终端环境评估、访问行为分析,进行持续化的可信评估,并自动化进行处置。其中核心技术主要是SDP(软件定义边界)
软件定义边界(Software-Defined Perimeter,SDP)是由云安全联盟(CSA)于2013年提出的一种以身份为中心实施对资源访问控制的安全框架,
是零信任模型的一种实现方式,由3大组件构成,分别是:
SDP Client:SDP客户端软件,用于用户设备认证、集成终端安全评估能力
SDP Gateway:SDP业务代理网关,实现网络隐身,细粒度的访问控制能力
SDP Controller:SDP控制中心,主要针对连接进行管理,动态策略下发等
SDP通过网络隐身、可信评估、最小授权等能力提供安全的业务访问,非在边界处防御攻击,而是提供持续验证,动态授权能力,为企业提供更安全、更便捷的安全访问能力,降低企业安全威胁
零信任应用场景
基于当前企业办公的安全问题,目前大部分落地的应用场景主要是解决在多环境+多终端的办公场景需求,替代传统VPN提供更稳定、更便捷、更安全的企业远程访问需求
解决如下问题:
1、员工出差到海外,访问国内办公网络延时高,体验差
2、有高频的移动办公需求,解决个人移动设备无法有效管控的问题
3、有效降低企业员工被钓鱼导致企业数据、信息被泄漏的风险
4、针对集团性企业、供应链单位存在的合作模式,提供外部合作伙伴接入的有效管理办法,降低安全威胁
