| 2022-02-17
传统的网络安全中,用户与系统之间依靠防火墙隔离,用户只需完成如“盖地虎,镇河妖”的“暗号”就可访问系统内部整个网络区域,使网络存在非常大的安全隐患。 “盖地虎,镇河妖”式“暗号”已不能支撑整个网络安全系统,“零信任网络”正悄悄走来。接下来小编就来告诉大家零信任网络的原则和架构,蒲公英零信任安全网络访问有哪些应用场景?
零信任网络的原则:“从不信任,总是验证”
它认为IP网络上的所有网络流量都是不可信的。所有网络资源的安全访问,无论在什么位置或设备上,都采取最小特权的网络访问策略,以严格执行访问控制。用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和帐户认证,这也是零信任原则的体现“Trust no-one. Verify everything”。 零信任网络在网络边缘强制实施安全策略,并在源头遏制恶意流量。
零信任网络架构
在零信任网络中,整个网络架构也可以类比SDN,可分为控制平面和数据平面。控制平面主要负责协调和配置,支撑整个系统。其他的内容都可以看作是数据平面。
在控制平面中,对受保护资源的访问请求首先要通过控制平面的同意,设备和用户都必须经过身份验证和授权。细粒度策略可以应用于这一层,策略可以是基于组织中的角色、时间或设备类型。访问更敏感的资源还可以强制进行更强大的身份验证。一旦控制平面同意了请求,它将动态配置数据平面以接受来自该客户机的流量。此外,它还可以在请求者和资源之间对隧道进行加密。加密的方式包括临时凭据、密钥和临时端口号。
零信任即无边界访问控制,打破传统“内部等于可信任”、“外部等于不可信任”的传统旧安全观念。蒲公英基于SD-WAN延伸出全新的访问边界及安全模型,对于企业数字化转型提供了可扩展性和易用性。
蒲公英零信任架构通过对访问身份权限的动态管控,持续进行信任评估和动态访问控制,实现最终业务安全访问。优势如下:
建立基于应用的安全边界,打破传统基于防火墙的网络边界,建立基于应用的更细粒度的访问策略管理;
建立基于身份的接入验证,身份权限动态管控,所有成员身份无差别信任与验证;
建立基于安全的数据保护,终端数据、应用分级隔离,企业数据通过加密隧道传输。
远程移动办公。随着远程办公及移动办公越来越普及,外部访问量激增,而企业访问边界的模糊化和访问设备的可信度管控缺失,导致企业数据安全面临较大挑战。但大部分企业基于已有的网络架构无法瞬时改变,这时蒲公英基于SD-WAN的零信任安全访问就能快速接入,重建企业网络访问边界,加强网络安全;
助力数字化转型。随着物联网、5G时代的到来,企业数字化转型已成为必然的趋势,这种情况下,业务平台及员工身份属性的多样化将越来越强烈。零信任在此基础下可重塑信任体系及访问策略,有效内外访问成员的安全属性进行监控;
业务安全保障。现在大部分企业的业务部署选择混合云的方式,内网数据外网访问难,外网数据安全保障难已成为大多企业的难题。零信任提倡对于所有身份进行授权访问,并动态监控授权身份的访问行为,所有账号无差别信任与认证,保障网络安全访问。
随着企业业务复杂性的增加、黑客的“进化”以及网络虚拟化等技术的发展,安全防御方式也在进一步提升,蒲公英零信任安全网络是大家不错的选择。