| 2022-08-17
当前,企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施,亟需新的网络安全架构应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势,零信任平台、零信任架构在这种背景下应运而生,本文就详细介绍一下的零信任平台相关问题。
零信任本质是以身份为基石的动态可信访问控制。它需要满足五个准则:
网络无时无刻不处于危险的环境中;
网络中自始至终存在外部或内部威胁;
网络的位置不足以决定网络的可信程度;
所有的设备、用户和网络流量都应当经过认证和授权;
安全策略必须是动态的,并基于尽可能多的数据源计算而来。
根据零信任的定义和准则,可以提取、凝练出四个要素:分别是(1)身份为基石,(2)业务安全访问,(3)持续信任评估,(4)动态访问控制。
1、以身份为基石
基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。
2、业务安全访问
零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。通过构建保护面实现对暴露面的收缩,要求所有业务默认隐藏,根据授权结果进行最小限度的开放,所有的业务访问请求都应该进行全流量加密和强制授权,业务安全访问相关机制需要尽可能工作在应用协议层。
3、持续信任评估
持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。
4、动态访问控制
动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
针对越来越广泛的“零信任”网络安全策略需求,贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案。
蒲公英零信任架构主要通过对访问身份权限的动态管控,对访问成员持续进行信任评估和动态的访问控制,最终实现业务安全访问。
蒲公英的相关功能主要包括:
自定义访问策略
组网内成员的访问权限、访问内容、访问时间均可进行自定义设置,满足用户多场景使用,通过策略控制保障组网内资源访问安全。
多因子账号安全
对访问身份权限进行持续信任评估,除基础的账号身份认证后,增加手机、邮箱OTP认证以及动态令牌MFA认证;根据用户常用使用习惯制定不同等级的安全认证,帮助组网
成员接入身份安全。
零信任平台安全架构不仅可以兼容移动互联网、物联网、5G等新兴应用场景,也可兼容等级保护2.0、国密改造、自主可控、可信计算等标准。蒲公英零信任网络下的访问控制,可以保障网络访问的安全,以及有效内外访问成员的安全属性进行监控。