零信任關(guān)鍵技術(shù)白皮書2023_第1頁(yè)
零信任關(guān)鍵技術(shù)白皮書2023_第2頁(yè)
零信任關(guān)鍵技術(shù)白皮書2023_第3頁(yè)
零信任關(guān)鍵技術(shù)白皮書2023_第4頁(yè)
零信任關(guān)鍵技術(shù)白皮書2023_第5頁(yè)
已閱讀5頁(yè),還剩58頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

100010101101101版權(quán)聲明本報(bào)告版權(quán)屬于江蘇易安聯(lián)網(wǎng)絡(luò)技術(shù)有限公司與云計(jì)算開源產(chǎn)業(yè)聯(lián)盟。轉(zhuǎn)載、摘編其相關(guān)責(zé)任。公司目錄目錄前言發(fā)展概況零信任起源與發(fā)展零信任的基本原則設(shè)零信任關(guān)鍵技術(shù)全景全面建設(shè)零信任概述全面建設(shè)零信任關(guān)鍵技術(shù)1設(shè)零信任實(shí)施指南全面建設(shè)零信任參考架構(gòu)7全面建設(shè)零信任典型實(shí)踐全面建設(shè)零信任落地場(chǎng)景束語(yǔ)附錄編制單位介紹零信任關(guān)鍵技術(shù)白皮書前言臻成通過(guò)位的零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況 業(yè)務(wù)訪問(wèn)需求復(fù)雜化,使得企業(yè)原有的網(wǎng)絡(luò)邊界逐漸模糊;二是遠(yuǎn)程辦公、自有設(shè)備 BYOD加了數(shù)據(jù)泄露的風(fēng)險(xiǎn);三是內(nèi)部橫向移動(dòng)、APT攻擊、勒索軟件等網(wǎng)絡(luò)攻擊手應(yīng)對(duì)各種合作伙伴、客戶和員工提供多樣化的網(wǎng)絡(luò)接入和服務(wù)訪問(wèn)。方案的探索。2010年,F(xiàn)orrester的首席分析師JohnKindervag正式提出零信任概念 的橫向移動(dòng)。體系演變。2014年,谷歌通過(guò)一系列論文介紹了BeyondCorp的設(shè)計(jì)思路和落地方案, 零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況N置的所有用戶均能安全地訪問(wèn)企業(yè)業(yè)務(wù)。任零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況任假。 權(quán)限原則; 當(dāng)被記錄和跟蹤。方向已經(jīng)從企業(yè)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)發(fā)展為企業(yè)業(yè)務(wù)訪問(wèn)安全架構(gòu),提供了旨在消除訪問(wèn)決策不確定性的一系列概念和組件,進(jìn)一步細(xì)化明確了零信任架構(gòu)設(shè)計(jì)的前提假設(shè)和基本原NIST為代表的安全框一些 均存在無(wú)法避免的各種安全威脅; (2)從訪問(wèn)過(guò)程的組成維度來(lái)看,參與訪問(wèn)過(guò)程的所有對(duì)象默認(rèn)都不可信任,包括用 、零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況 (2)業(yè)務(wù)、資源訪問(wèn)所依賴的通信機(jī)制必須滿足相應(yīng)的安全要求(身份鑒別、機(jī)密性、 予其最小訪問(wèn)權(quán)限(遵循最小權(quán)限原則); (4)對(duì)資源的訪問(wèn)授權(quán)是通過(guò)動(dòng)態(tài)策略決定的,影響策略判決結(jié)果的因素包括用戶身 (5)企業(yè)持續(xù)監(jiān)控和測(cè)量所有IT資產(chǎn)的安全狀態(tài),以便對(duì)處于不同安全態(tài)勢(shì)下的資同的安全策略; IT、訪問(wèn)請(qǐng)求的元數(shù)據(jù)),以便態(tài)勢(shì)。最大限度地收斂暴露面和失陷范圍。“實(shí)時(shí)上下文”是零信任的實(shí)現(xiàn)基礎(chǔ),由業(yè)務(wù)訪問(wèn)過(guò)程中,所有可能影響業(yè)務(wù)安全的級(jí)零信任關(guān)鍵技術(shù)白皮書零信任發(fā)展概況圍內(nèi)的所有數(shù)字資產(chǎn)均面臨威脅,需要對(duì)它們實(shí)施最大范圍、基于風(fēng)險(xiǎn)的全過(guò)程訪問(wèn)控展策略的部署來(lái)加以保證,以確保兼顧來(lái)自風(fēng)險(xiǎn)管通過(guò)實(shí)時(shí)上下文和持續(xù)驗(yàn)證的統(tǒng)一協(xié)同,零信任限制了用戶身份憑據(jù)的使用范圍和圖1全面建設(shè)零信任概念會(huì)話建立動(dòng)態(tài)訪問(wèn)控制會(huì)話建立動(dòng)態(tài)訪問(wèn)控制身份認(rèn)證會(huì)話建立業(yè)務(wù)通信會(huì)話關(guān)閉零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景PAPART 企業(yè)全面建設(shè)零信任的目的是為了提升業(yè)務(wù)資源訪問(wèn)的速度與安全性,企業(yè)需要建基礎(chǔ)設(shè)施,形成對(duì)企業(yè)資源的全方位保護(hù)。零信任架構(gòu)通過(guò)提供自適應(yīng)的持續(xù)保護(hù)和主動(dòng)威脅管理,為用戶、設(shè)備和應(yīng)用建立多層級(jí)的測(cè)與響應(yīng)。技技術(shù)與編排與認(rèn)證零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景 (3)網(wǎng)絡(luò):訪問(wèn)主體與資源間各中間節(jié)點(diǎn)構(gòu)成的物理或邏輯通道。 (1)身份認(rèn)證:訪問(wèn)關(guān)聯(lián)實(shí)體進(jìn)行身份認(rèn)證; (3)業(yè)務(wù)通信:用戶通過(guò)安全鏈路訪問(wèn)業(yè)務(wù)資源; )會(huì)話終止:主客體之間關(guān)閉訪問(wèn)會(huì)話。: 應(yīng)用服務(wù)等。授權(quán)決策不僅僅基于網(wǎng)絡(luò)位置、用戶角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪問(wèn)控制模型,零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景圖2全面建設(shè)零信任技術(shù)圖譜 自動(dòng)響應(yīng)與可視化。1.可信身份與認(rèn)證份零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景的關(guān)鍵技術(shù)如圖3所示。圖3零信任架構(gòu)中可信身份關(guān)鍵技術(shù) 用戶數(shù)字身份由用戶屬性、行為、生物特征等標(biāo)簽共同組成,用戶的可信正建立在對(duì)數(shù)字身份認(rèn)證的基礎(chǔ)之上,用戶通過(guò)動(dòng)態(tài)口令、人臉識(shí)別、指紋識(shí)別以及認(rèn)證令牌等方式完成身份認(rèn)證。零信任架構(gòu)中的身份認(rèn)證是一個(gè)持續(xù)驗(yàn)證的過(guò)程,首先在建立連接之前先執(zhí)行身份認(rèn)證,只有經(jīng)過(guò)驗(yàn)證的最終用戶才能訪問(wèn)資源;其次,在訪問(wèn)的整個(gè)生命周期中持續(xù)進(jìn)行身份驗(yàn)證,以確定每個(gè)訪問(wèn)請(qǐng)求的身份和安全狀況;同時(shí),訪問(wèn)控制引擎結(jié)合用予對(duì)資源的最小訪問(wèn)權(quán)限。零信任通過(guò)自適應(yīng)的、基于風(fēng)險(xiǎn)的評(píng)估來(lái)識(shí)別潛在威脅,做到精細(xì)化的權(quán)限控制,減少因身份憑證被盜或泄露所帶來(lái)的潛在威脅,該評(píng)估機(jī)制會(huì)貫穿整個(gè)用戶生命周期。 數(shù)字設(shè)備身份由客戶端設(shè)備信息、訪問(wèn)時(shí)間、入網(wǎng)位置等標(biāo)簽共同組成。零信任架構(gòu)中,設(shè)備的可信主要通過(guò)對(duì)設(shè)備的安全性進(jìn)行持續(xù)檢查和發(fā)現(xiàn)來(lái)實(shí)現(xiàn)。一方面,根據(jù)預(yù)先收集的設(shè)備信息對(duì)設(shè)備的訪問(wèn)行為賦予初始權(quán)限策略;另一方面持續(xù)監(jiān)控設(shè)備行為,對(duì)于零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景存儲(chǔ)的信息校驗(yàn)登錄設(shè)備信息以及證書有效性,判斷是否為可信設(shè)備;其次,可信設(shè)備管理將持續(xù)、自動(dòng)化地識(shí)別、記錄和跟蹤組織內(nèi)不同類型設(shè)備資產(chǎn)及對(duì)應(yīng)屬性,為設(shè)備動(dòng)態(tài)屬性及上下文環(huán)境,完成對(duì)設(shè)備的動(dòng)態(tài)認(rèn)證與授權(quán);最后,零信任架構(gòu)將持續(xù)對(duì)所有接入設(shè)備進(jìn)行威脅檢測(cè)與響應(yīng),同時(shí),信任評(píng)估引擎將持續(xù)驗(yàn)證設(shè)備相關(guān)配置策略,并針對(duì)不符合配置基線的設(shè)備執(zhí)行修復(fù)操作??尚旁O(shè)備的重點(diǎn)在于持續(xù)對(duì)每個(gè)訪問(wèn)企業(yè)資源的設(shè) 零信任架構(gòu)默認(rèn)不信任訪問(wèn)主體的身份,在單次會(huì)話全生命周期中持續(xù)驗(yàn)證訪問(wèn)主因子,自適應(yīng)SSO和MFA可在不影響用戶體驗(yàn)的同時(shí)增加訪問(wèn)安全性。SSO單點(diǎn)登錄允許用戶通過(guò)一組登錄憑證訪問(wèn)多個(gè)相關(guān)的應(yīng)用程序和服務(wù)。為了降低多個(gè)應(yīng)用程序依賴于同一組登錄憑證的風(fēng)險(xiǎn),通常需要對(duì)SSO使用自適應(yīng)認(rèn)證。如果用戶在嘗試通過(guò)SSO登錄時(shí)或在其SSO認(rèn)證會(huì)話期間表現(xiàn)出異常行為,如通過(guò)無(wú)法識(shí)別的VPN進(jìn)行連接、訪問(wèn)用戶會(huì)話認(rèn)證令牌未涵蓋的應(yīng)用程序或數(shù)據(jù)等,SSOMFA的多種非密碼認(rèn)證因子,降低密碼泄露帶來(lái)的潛在安全隱患。2.數(shù)據(jù)隔離保護(hù) 數(shù)據(jù)沙箱可以為員工提供可信的終端工作環(huán)境,如圖4所示,支持多域多安全級(jí)別的零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景能在安全工作域內(nèi)訪問(wèn)業(yè)務(wù)資源;二是工作空間全生命周圖4終端沙箱的安全能力數(shù)據(jù)沙箱使用內(nèi)存映射技術(shù),為每個(gè)進(jìn)程創(chuàng)造一個(gè)單獨(dú)的地址空間,用以隔離多個(gè)進(jìn)程的代碼和數(shù)據(jù),通過(guò)內(nèi)核空間和用戶空間不同的特權(quán)級(jí)來(lái)隔離操作系統(tǒng)和用戶進(jìn)程的代碼和數(shù)據(jù)。關(guān)鍵隔離技術(shù)包括:文件隔離?隔離宿主機(jī)與空間文件系統(tǒng);剪切板隔離?隔離剪切板的數(shù)據(jù)通道;網(wǎng)絡(luò)隔離?隔離應(yīng)用訪問(wèn)通道;注冊(cè)表隔離?隔離應(yīng)用系統(tǒng)配置;進(jìn)程通信隔離?隔離進(jìn)程避免數(shù)據(jù)逃逸。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景 微隔離技術(shù)主要實(shí)現(xiàn)工作負(fù)載間的安全隔離,按邏輯將數(shù)據(jù)中心網(wǎng)絡(luò)劃分為不同安 遠(yuǎn)程瀏覽器隔離(RBI)是一種訪問(wèn)會(huì)話隔離技術(shù),將瀏覽器執(zhí)行從用戶設(shè)備轉(zhuǎn)移到云只3.動(dòng)態(tài)訪問(wèn)控制 訪問(wèn)控制是通過(guò)某種途徑顯式地準(zhǔn)許或限制主體對(duì)客體訪問(wèn)能力及范圍的一種方基于角色的訪問(wèn)控制(RBAC)和基于屬性的訪問(wèn)控制(ABAC),同時(shí)也存在兩者結(jié)合的授權(quán)方零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景問(wèn)主體 信任評(píng)估引擎是零信任架構(gòu)中實(shí)現(xiàn)持續(xù)信任評(píng)估能力的核心組件,持續(xù)信任評(píng)估是圖5零信任動(dòng)態(tài)訪問(wèn)控制的核心功能是對(duì)零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景為動(dòng)態(tài)訪問(wèn)控制提供有效輸入;二是對(duì)訪問(wèn)主體訪問(wèn)上下文行為分析的評(píng)估,結(jié)合訪問(wèn) 策略統(tǒng)一編排實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備內(nèi)部安全策略可視化編排和可視化監(jiān)控運(yùn)行,借助中其中,策略規(guī)則用于描述策略匹配的具體條件;策略優(yōu)先級(jí)用于定義策略執(zhí)行的先后順序;策略動(dòng)作標(biāo)識(shí)滿足策略規(guī)則之后所采取的動(dòng)作。通常,,濾策略等。通過(guò)策略鏈,安全運(yùn)維人員可更便捷地查看安全策略配置以及安全策略的執(zhí) 化響應(yīng)與處置零信任架構(gòu)下,基于風(fēng)險(xiǎn)驅(qū)動(dòng)和上下文感知的自動(dòng)化安全響應(yīng)能夠識(shí)別行為的不一零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任關(guān)鍵技術(shù)全景全響應(yīng)與處置。安全編排是將企業(yè)不同安全技術(shù)按照一定的邏輯關(guān)系組合到一起,以實(shí)現(xiàn)安全響應(yīng)與處置流程的自動(dòng)化,在此過(guò)程中,企業(yè)需要簡(jiǎn)化安全堆棧,消除不必要與重復(fù) 可視化分析零信任架構(gòu)需要支持最新的外部合規(guī)審計(jì)要求,結(jié)合自身行業(yè)、業(yè)務(wù)特點(diǎn)制定信息安全管理體系,對(duì)用戶操作行為進(jìn)行審計(jì),并將審計(jì)信息上傳至零信任控制中心,零信任控制中心通過(guò)對(duì)信息進(jìn)行統(tǒng)計(jì)分析,得出用戶安全訪問(wèn)基線、設(shè)備安全訪問(wèn)基線和服務(wù)間流量安全基線。零信任控制中心將監(jiān)視、記錄、關(guān)聯(lián)分析網(wǎng)絡(luò)中的每個(gè)活動(dòng),對(duì)可疑行為展開時(shí)空線用戶異常訪問(wèn)行為直觀展示,幫助安全運(yùn)營(yíng)人員更直觀、全面地了解訪問(wèn)主體的安全狀態(tài)零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南PARPART不同點(diǎn)和應(yīng)用場(chǎng)景,并對(duì)每種架構(gòu)的關(guān)鍵技術(shù)能力進(jìn)行分 1.NIST零信任架構(gòu) 以及組件關(guān)系(架構(gòu)),旨在消除在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確訪問(wèn)決策的不確定性”。零境和網(wǎng)絡(luò)基礎(chǔ)設(shè)施等組件。傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全解決方案只關(guān)注外圍防御,導(dǎo)致對(duì)內(nèi)部用戶開放了過(guò)多的訪問(wèn)權(quán)限,而零信任的主要目標(biāo)是提供基于身份的細(xì)粒度訪問(wèn)控制,以應(yīng)對(duì)日益嚴(yán)峻的橫向移動(dòng)風(fēng)險(xiǎn)。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南圖6給出了NIST的零信任架構(gòu)示意圖,各邏輯組件使用獨(dú)立的控制層面進(jìn)行通信,應(yīng)用數(shù)據(jù)則在數(shù)據(jù)層面進(jìn)行通信。a)策略決策點(diǎn)(PDP)PAPE負(fù)責(zé)決定是否授予主體對(duì)資源(訪問(wèn)客體)的訪問(wèn)權(quán)限,使用來(lái)自外部信息源(例對(duì)該資源的訪問(wèn)。PA根據(jù)PE的決策結(jié)果向PEP下達(dá)控制指令,建立和/或切斷主體與資源之間的訪b)策略執(zhí)行點(diǎn)(PEP)t除了企業(yè)中實(shí)現(xiàn)ZTA策略的核心組件之外,其它多個(gè)數(shù)據(jù)源也可以提供輸入和策略規(guī)則,以供策略引擎在做出訪問(wèn)決策時(shí)使用。這些數(shù)據(jù)源包括本地?cái)?shù)據(jù)源和外部(即非企零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南a)持續(xù)診斷和緩解系統(tǒng)該系統(tǒng)收集關(guān)于企業(yè)資產(chǎn)當(dāng)前狀態(tài)的信息,并對(duì)配置和軟件組件應(yīng)用進(jìn)行更新。企業(yè)CDM序是否打過(guò)補(bǔ)丁、企業(yè)準(zhǔn)入軟件/組件的完整性狀態(tài)、是否存在已知漏洞或未經(jīng)批準(zhǔn)的組CDM該系統(tǒng)確保企業(yè)遵守相關(guān)監(jiān)管制度(如醫(yī)療或金融行業(yè)信息安全要求HIPAA、擎做出訪問(wèn)決策。一組與企業(yè)數(shù)據(jù)資源訪問(wèn)相關(guān)的屬性、規(guī)則和策略集合。這些策略是授予對(duì)資源訪問(wèn)權(quán)限的規(guī)則條件,為企業(yè)中的參與者和應(yīng)用/服務(wù)提供了基本的訪問(wèn)特權(quán)。e施此系統(tǒng)負(fù)責(zé)生成和簽發(fā)由資源、主體、服務(wù)和應(yīng)用程序使用的數(shù)字證書,并將其記錄該系統(tǒng)負(fù)責(zé)創(chuàng)建、存儲(chǔ)和管理企業(yè)用戶賬戶和身份記錄,包含必要的用戶信息(如姓g)安全信息和事件管理系統(tǒng)(SIEM)該系統(tǒng)聚合系統(tǒng)日志、網(wǎng)絡(luò)流量、資源授權(quán)等事件信息,以供策略優(yōu)化和潛在威脅的零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南 等信息,保證用戶的身份可信;持續(xù)診斷和緩解系統(tǒng)、數(shù)據(jù)訪問(wèn)策略負(fù)責(zé)收集關(guān)于企業(yè)資產(chǎn)當(dāng)前狀態(tài)的信息,并對(duì)配置和軟件組件應(yīng)用進(jìn)行更新,威脅情報(bào)源、安全信息和事件管理系統(tǒng)負(fù)責(zé)收集各類威脅數(shù)據(jù)和安全事件數(shù)據(jù),保證設(shè)備和環(huán)境可信。態(tài)訪問(wèn)控制技術(shù)方面,NIST架構(gòu)中的PEP將訪問(wèn)主體和訪問(wèn)客體分隔。作為訪問(wèn)主體側(cè)的用戶想獲取作為訪問(wèn)客體的數(shù)據(jù)資源,必須通過(guò)PEP進(jìn)入。零信任要求對(duì)用戶的當(dāng)上述輸入的數(shù)據(jù)產(chǎn)生變化時(shí),評(píng)估結(jié)果隨之變化,PE將新的評(píng)估全事件。2.CSA軟件定義邊界架構(gòu) 機(jī)和接受主機(jī)。圖7CSASDP架構(gòu)零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南S主機(jī)可以細(xì)分為兩類:發(fā)起主機(jī)或接受主機(jī)。發(fā)起主機(jī)(IH)與控制器通信以請(qǐng)求它們可 SDP夠?qū)崿F(xiàn)基于用戶自定義控制的網(wǎng)絡(luò)微隔離。通過(guò)SDP夠抵御基于網(wǎng)絡(luò)的攻擊,并通過(guò)動(dòng)態(tài)創(chuàng)建和刪除訪問(wèn)規(guī)則(出站和入站)來(lái)啟用對(duì)受保護(hù)H零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南訪問(wèn)的執(zhí)行情況,并把這些日志上報(bào)給SDP控制器。一方面SDP控制器將對(duì)日志分析結(jié) 1.谷歌BeyondCorp項(xiàng)目 能證、授權(quán)和加密。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南BeyondCorp員工訪問(wèn)控制引擎是集中化策略編排和下發(fā)的核心組件,用來(lái)確保網(wǎng)關(guān)正確地實(shí)施安全評(píng)估引擎是一個(gè)持續(xù)分析、評(píng)估設(shè)備安全狀態(tài)的系統(tǒng)。系統(tǒng)設(shè)置設(shè)備可訪問(wèn)的最大信任層或更新失敗會(huì)觸發(fā)重新評(píng)估。源(如SSH服務(wù)、Web代理、802.1x網(wǎng)絡(luò)),網(wǎng)關(guān)提供授權(quán)(如分配最低信任層、分配資源都與訪問(wèn)所需的最低信任級(jí)別相關(guān)聯(lián)。 零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南HR系統(tǒng)將需要訪問(wèn)企業(yè)網(wǎng)絡(luò)和應(yīng)用的用戶的所有相關(guān)信息都提供給BeyondCorp。在動(dòng)態(tài)訪問(wèn)控制方面,訪問(wèn)代理中的訪問(wèn)控制引擎,基于每個(gè)訪問(wèn)請(qǐng)求,為企業(yè)應(yīng)用提供服務(wù)級(jí)的細(xì)粒度授權(quán)。授權(quán)判定基于用戶、用戶所屬的群組、設(shè)備證書以及設(shè)備清單的設(shè)備屬性進(jìn)行綜合計(jì)算,動(dòng)態(tài)決策每個(gè)訪問(wèn)的權(quán)限。在終端的網(wǎng)絡(luò)隔離方面,BeyondCorp項(xiàng)目將所有辦公設(shè)備默認(rèn)分配到一個(gè)無(wú)特權(quán)網(wǎng)絡(luò)中,避免直接接入內(nèi)部業(yè)務(wù)網(wǎng)絡(luò),并在內(nèi)網(wǎng)中構(gòu)建了一個(gè)與外網(wǎng)環(huán)境類似、且只能訪問(wèn)無(wú)特權(quán)網(wǎng)絡(luò)和谷歌網(wǎng)絡(luò)的其他部分之間由嚴(yán)格管理的ACL(訪問(wèn)控制列表)進(jìn)行控制。 SaaS原生安全控制、物聯(lián)網(wǎng)與運(yùn)營(yíng)管理,信息保護(hù)等功能上進(jìn)行細(xì)化和落地。該架構(gòu)在假定出現(xiàn)了信息泄露的情況下,對(duì)所有訪問(wèn)請(qǐng)求進(jìn)行驗(yàn)證,無(wú)論該請(qǐng)求出自何處、要訪問(wèn)什么資源,以保護(hù)位于任何位置的微軟零信任安全架構(gòu)的核心是安全策略的統(tǒng)一部署執(zhí)行,安全策略引擎提供實(shí)時(shí)的策略評(píng)估與決策。該引擎通過(guò)對(duì)身份、設(shè)備、組織策略和威脅情報(bào)的分析綜合決策訪問(wèn)的設(shè)備的安全性。零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南圖9微軟零信任架構(gòu)示意圖 從可信身份與認(rèn)證技術(shù)方面來(lái)看,在微軟零信任架構(gòu)下,用戶若想要訪問(wèn)到目標(biāo)資源,首先要收集身份、設(shè)備的安全態(tài)勢(shì)信息(風(fēng)險(xiǎn)判定)。身份信息方面,通過(guò)AzureAD監(jiān)控和分析網(wǎng)絡(luò)中的用戶活動(dòng)和信息。使用基于非對(duì)稱密鑰的用戶身份驗(yàn)證(無(wú)密碼方P零全面建設(shè)零信任實(shí)施指南據(jù)到進(jìn)行SIEM的分析是不夠的,因?yàn)椴杉臄?shù)據(jù)缺少檢測(cè)、缺少一致性的語(yǔ)言定義。為 1.遠(yuǎn)程辦公場(chǎng)景N圖10零信任遠(yuǎn)程辦公場(chǎng)景零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南基于SDP的零信任解決方案可以更好解決遠(yuǎn)程辦公場(chǎng)景下的安全問(wèn)題,一是基于方面,通過(guò)多因子認(rèn)證、社交化賬號(hào)接入和設(shè)備清單關(guān)聯(lián),確保只有身份可信的用戶使用清單內(nèi)的設(shè)備才能訪問(wèn)。APP等多種訪問(wèn)方式;另一方面,可為管理員提供多維度的用戶行為分析和應(yīng)用訪2.數(shù)據(jù)防護(hù)場(chǎng)景由邏零信任關(guān)鍵技術(shù)白皮書全面建設(shè)零信任實(shí)施指南圖11數(shù)據(jù)安全場(chǎng)景任在終端數(shù)據(jù)安全方面的能力,另一方面和零信任的自適應(yīng)動(dòng)態(tài)策略和細(xì)粒度權(quán)限管控零信任策略中心可以集成多安全產(chǎn)品,提供完整的用戶行為審計(jì)和終端安全分析,通過(guò)零信任自適應(yīng)動(dòng)態(tài)策略管控和安全工作空間終端數(shù)據(jù)安全的融據(jù)在加密隧道應(yīng)最小權(quán)限數(shù)據(jù)管控。零信任關(guān)鍵技術(shù)白皮書結(jié)束語(yǔ)PAPART零信任理念從提出至今,歷時(shí)十八載(2004年開始)?從早期耶利哥論壇對(duì)企業(yè)“去邊界化”網(wǎng)絡(luò)安全解決方案的探索,到2010年零信任概念(ZeroTrust)正式提出,到基于零信任理念的企業(yè)安全架構(gòu)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論