04-零信任安全-ACA(一)

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
函数计算FC,每月15万CU 3个月
简介: 04-零信任安全-ACA(一)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程04-零信任安全-ACA(一)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18867


04-零信任安全-ACA(一)

 

内容介绍:

一、企业IT架构变革带来全新办公模式

二、阿里云零信任解决方案思路和重要产品组成

三、阿里云零信任办公安全平台架构

四、核心能力-统一身份IDAAS零信任的身份底座

五、核心能力-统一身份

六、核心能力-动态授权

 

一、企业IT架构变革带来全新办公模式

接下来我们学习零信任安全这一章节的内容,先来分析相关的背景,我们这里的标题叫做企业的 it 架构变革带来全新的办公模式,即现在的办公模式有传统的企业办公模式跟新型的企业办公模式。
传统的企业办公模式基本是遵循这样的一个过程,就是员工走进写字楼,然后利用办公室里的电脑,比如登录密码,登录通过,然后到他的本地的服务器里访问我们的业务系统,或者是我们这一些某些业务应用,然后去获取或者保存相关的数据等。


由于这些过程都是发生在企业内部的网络,所以从网络安全的角度上来看,无论是企业的人员,数据,甚至是像 IP 等,这些核心的信息都是安全的。但是我们现在受到新冠肺炎疫情的影响,远程办公的这种模式得到了爆发式的增长。

图片92.png

现在我们的任何人在任何位置都可以进行办公,特别是随着新冠肺炎的这个影响,现在有越来越多的人都不得不接受远程办公,或者主动的来接受远程办公。


根据 Gartner 在去年的一个报告显示,有超过 90% 的 HR 的领导者正在计划或者是已经允许公司的员工来进行远程的办公我们现在企业的办公模式正在发生巨大的变革,就有可能我们在出差的路上,比如在家里,甚至在地铁上,在星巴克可能都可以远程办公,这已经成为很多公司的新常态。


远程工作在提高工作效率的同时也带来了一些问题。首先远程工作它因为不在办公室,所以网络安全的边界就扩大了,这个时候接入了终端增加,对于我们的企业来说,我们就增加了数据泄露的风险,同时可以从网络的四面八方接入到企业的内网,以后有可能也会面临着一些网络的攻击。当然实事求是的说,即使没有新冠肺炎这个疫情的推动,远程办公也必将成为一种新的潮流,新的模式,因为现在随着云计算技术的不断的发展,不断的普及,有越来越多的公司采用了一些 SARS 化的应用,或者逐步的把他们的基础设施都已经上云,所以必然会有越来越多的公司的网络架构变成本地有自己的局域网络,云上有云上的网络,两者会互相结合到一起来形成对应的混合云架构。


再加上办公地点不再局限,我可能不一定非在公司里办公,我可能在任何的地方办公,所以通过公网联入,或者是通过 VPN 的方式联入到我们的这个混合云的网络里面,是成为一个很常态化的事情,所以对于我们网络管理、网络安全都带来了巨大的挑战。


再就是现在很多创新型的业务只靠自己一家公司是很难全部来完成的,所以它就需要有很多上游、下游各种合作伙伴一起来完成一个系统,所以这样互相的交流,互相的这种沟通的这个成本或者这种需求就会激增,所以人人角色不固定,也对我们这种混合办公的远程办公提出了一些新的要求在这样的背景之下,阿里云提出了远程办公零信任的解决方案。

 

二、阿里云零信任解决方案思路和重要产品组成

阿里云推出了自己的零信任解决方案,这个解决方案或者这个平台框架是基于云架构跟全球的高速网络,构建了安全的接入网关,统一的身份网关跟应用安全网关,我们可以看到是三个网关,因为我们刚刚在分析这种新型办公模式下为什么需要灵性上的解决方案?


它主要面临的两个大的挑战,其中有一个就是网关的出口问题,所以我们这里构建了三类的安全网关。 通过对每个访问主体去访问企业资源的身份、设备、位置、行为等去进行持续的风险评估和信任,这也是我们刚刚所说的零信任的基本原则的这样的一个贯彻,这样就能够实现主体在任何网络位置下的安全高效来访问企业的资源,这个时候就不再去有这种默认信任的边界,所有访问企业的资源的请求都需要经过授权,这就是体现零信任的基本的这种要素在里面。

图片93.png

纵观整个架构,主要包含了两个关键词,可信跟动态,阿里云的办公零信任的解决方案就是以可信和动态为核心,把我们经过认证可信认证体系的这些这种 IP, 设备,应用在进入我们的办公网络进行一些操作,比如获取权限或者调用数据时,它可以凭借可信的认证来获取这个权限,从而来实现动态的安全防护。


整个方案包含了三个大的核心模块,第一个叫做远程终端的安全管理,这个远程终端进行访问的时候,都需要通过可信的认证跟身份的管理,只有通过认证的设备才能够去访问我们的一些内部系统,同时在远程终端安全管理这套系统里会去分析采集这些终端的安全数据来判断入网的设备是否具备一定的安全性。


第二个部分是这个UEBA,也就是持续风险评估决策中心,这是一个云端的动态决策管控系统,它会对访问者的信息采取交叉安全认证的方式来进行统一的高强度的安全认证,同时会采用人工智能的模型来分析这些认证的结果,以此来综合判断访问者访问身份的可信等级,从而来实现用户权限的动态分配。


再是统一的可信网络,这个主要是通过 idaas 统一身份网关这个产品来去实现。 idaas这个产品打通了不同应用系统的身份认证的体系,用户授权的体系,通过 UEBA 里智能管理中心,来实现集中权限管理跟统一认证工中心的这样的能力。

 

三、阿里云零信任办公安全平台架构

我们来看整体的安全平台架构,在这个架构里主要解决两个问题,一个是解决办公来访问互联网服务这样的场景底下的安全问题,第二个是解决在办公的时候去访问内网服务场景底下的安全问题。
图片94.png在这个架构有三个核心的元素,第一个是统一身份服务,这里面主要是通过这几个手段去实现这个目标。


首先是应用身份的服务idaas, idaas 是整个零信任架构的身份底座,它实现了统一身份、集中权限管理、动态授权等像这些的能力。idaas的作用是打通应用和身份,这样再配合像多因素认证、单点登录等这样的手段就能够去满足认证的安全要求。


第二个核心要素是装网访问或者叫内网访问,这里有个缩写PA,指的是 private assess ,装网访问的意思。在这里面我们主要通过这几个手段,一个是应用引申,让应用这个避免暴露在更多的网络安全风险底下,这个更安全。 第二个边缘安全引擎以及这个访问加速支持 pop 点去加速去访问。第三个核心要素是互联网访问,就是 Internet assess,这里主要是这两个手段都是通过云安全访问服务来提供。第一个是行为管理,行为管理是可以记录一些我们的一些网络上网的行为,并且配置一些对应的管控策略,办公数据保护是一种轻量型的DLP, DLP 是数据泄露防护技术,也提供了这样的技术,这样可以针对我们的办公文件、敏感文件去进行保护,就能保护我们的办公数据安全。

相关文章
|
Java Linux 开发工具
Jenv 多版本JDK管理
Jenv 可以对多版本JDK进行管理
数智洞察丨剖析数智化系统思维:顶层设计和数字治理
数智洞察丨剖析数智化系统思维:顶层设计和数字治理
665 0
|
数据安全/隐私保护 Python
BUUCTF 传统知识+古典密码 1
BUUCTF 传统知识+古典密码 1
844 0
|
9月前
|
人工智能 运维 监控
容器服务Kubernetes场景下可观测体系生产级最佳实践
阿里云容器服务团队在2024年继续蝉联Gartner亚洲唯一全球领导者象限,其可观测体系是运维的核心能力之一。该体系涵盖重保运维、大规模集群稳定性、业务异常诊断等场景,特别是在AI和GPU场景下提供了全面的观测解决方案。通过Tracing、Metric和Log等技术,阿里云增强了对容器网络、存储及多集群架构的监控能力,帮助客户实现高效运维和成本优化。未来,结合AI助手,将进一步提升问题定位和解决效率,缩短MTTR,助力构建智能运维体系。
|
人工智能 自然语言处理 搜索推荐
魔搭ModelScope社区作为一个AI模型开源平台,提供了丰富的模型资源和便捷的服务
【2月更文挑战第9天】魔搭ModelScope社区作为一个AI模型开源平台,提供了丰富的模型资源和便捷的服务
782 3
|
11月前
|
消息中间件 监控 物联网
物联网8大协议介绍及对比
根据具体的应用需求,选择合适的协议可以大幅提升系统的性能和可靠性。希望本文能为您在物联网协议的选择和应用中提供有价值的参考。
3071 0
|
机器学习/深度学习 安全 网络安全
网络信息安全之零信任
根据NIST《零信任架构标准》中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
1206 1
|
人工智能 文字识别 语音技术
学习资料大全​ | 一起来魔搭社区学AI吧!
魔搭社区特别推出研习社栏目,包含AI前沿技术解读、模型应用最佳实践、动手做AI应用(AIGC/Agent/RAG)等主题,持续更新,代码实战点击即运行
|
机器学习/深度学习 人工智能 算法
软件测试的未来:AI与自动化的融合之路
随着技术的不断进步,人工智能(AI)和自动化技术在软件测试领域的应用日益增多。本文将探讨AI如何改变软件测试的面貌,以及自动化工具如何助力提升测试效率和准确性。我们将从实际案例出发,分析AI和自动化技术带来的优势与挑战,并展望未来软件测试的发展趋势。
|
安全 数据可视化 网络安全
关于零信任的 “灵魂” 12问,企业未来如何适配“零信任”?
过去提到网络安全,以前人们立马想到的会是“VPN”、“防火墙”和“WAF”等;如今随着5G、物联网时代的到来,企业不断被迫重构安全边界,甚至出现一种声音:“零信任”或许会取代企业VPN。