首页
新闻资讯

零信任理念由什么组成?如何用蒲公英实现零信任安全?

2022-11-2

零信任早已取代防火墙,成为近些年来非常火爆的安全模式。它提出了一种全新的概念,区别于防火墙能提供的物理边界,零信任能应用在各种完善的安全架构中,开创出一种全新的安全模式,可以阻隔潜在的风险因素,提高安全性。下文中详细介绍了零信任的知识,还有如何用蒲公英实现零信任安全?

?零信任是什么?

零信任既不是技术也不是产品,而是一种安全理念。根据NIST《零信任架构标准》中的定义:
零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。

零信任理念由7个原则组成:

1、所有数据源和计算服务都被视为资源。
2、无论网络位置如何,所有通信必须是安全的。
3、 对企业资源的访问授权是基于每个连接的。
4、 对资源的访问由动态策略(包括客户端身份、应用和被请求资产等的可观测状态)决定,并可能包括其他行为属性。
5、 企业确保其掌握和关联的所有设备都处于尽可能的最安全状态,并监控设备资产以确保它们保持在尽可能的最安全状态。
6、 在访问被允许之前,所有资源访问的身份验证和授权是动态的和严格强制实施的。
7、 企业收集尽可能多关于网络基础设施当前状态的信息,并用于改善其安全态势。
此外,零信任理念还包含5个假设
在企业自有的网络上的假设:
1)整个企业专业网络不被视为隐式信任区域。
2)网络上的设备可能不可由企业拥有或配置。
3)任何资源本质上都不受信任。
在非企业自有的网络上的假设:
1)并非所有企业资源都在企业拥有的基础结构上。
2)远程企业用户无法完全信任本地网络连接。

如何用蒲公英实现零信任安全?

在零信任环境中,所有通信都被视为不信任,除非这种信任关系能够得到证明,而且这种证明也必须是多方面的证明,终端层面要实时监测主机状态,包括主机入侵检测,主机防护响应任务调度,主机环境陷阱设置,主机杀毒以及主机基线等情况。身份层面通常利用双因素认证或多因素认证的加强,通过短信、指纹、令牌多种认证方式建立一个多层次的身份验证层面的防御,人员在经过认证之后才能实现对应用层面访问。

针对越来越广泛的“零信任”网络安全策略需求,贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案。
蒲公英零信任架构主要通过对访问身份权限的动态管控,对访问成员持续进行信任评估和动态的访问控制,最终实现业务安全访问。
自定义访问策略
组网内成员的访问权限、访问内容、访问时间均可进行自定义设置,满足用户多场景使用,通过策略控制保障组网内资源访问安全。
多因子账号安全
对访问身份权限进行持续信任评估,除基础的账号身份认证后,增加手机、邮箱OTP认证以及动态令牌MFA认证;根据用户常用使用习惯制定不同等级的安全认证,帮助组网成员接入身份安全。
蒲公英路由器中也包含了零信任模式,用户能根据自己的使用需求选择开启或关闭,开启零信任模式后,用户能自行设置信任关系,定义访问成员的权限,在不同场景下开启不同的安全模式,让工作和生活都能得到有效的安全保障。