04-零信任安全-ACA(一)

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
容器镜像服务 ACR,镜像仓库100个 不限时长
应用实时监控服务-可观测链路OpenTelemetry版,每月50GB免费额度
简介: 04-零信任安全-ACA(一)

开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程04-零信任安全-ACA(一)

课程地址:https://edu.aliyun.com/course/3111981/lesson/18867


04-零信任安全-ACA(一)

 

内容介绍:

一、企业IT架构变革带来全新办公模式

二、阿里云零信任解决方案思路和重要产品组成

三、阿里云零信任办公安全平台架构

四、核心能力-统一身份IDAAS零信任的身份底座

五、核心能力-统一身份

六、核心能力-动态授权

 

一、企业IT架构变革带来全新办公模式

接下来我们学习零信任安全这一章节的内容,先来分析相关的背景,我们这里的标题叫做企业的 it 架构变革带来全新的办公模式,即现在的办公模式有传统的企业办公模式跟新型的企业办公模式。
传统的企业办公模式基本是遵循这样的一个过程,就是员工走进写字楼,然后利用办公室里的电脑,比如登录密码,登录通过,然后到他的本地的服务器里访问我们的业务系统,或者是我们这一些某些业务应用,然后去获取或者保存相关的数据等。


由于这些过程都是发生在企业内部的网络,所以从网络安全的角度上来看,无论是企业的人员,数据,甚至是像 IP 等,这些核心的信息都是安全的。但是我们现在受到新冠肺炎疫情的影响,远程办公的这种模式得到了爆发式的增长。

图片92.png

现在我们的任何人在任何位置都可以进行办公,特别是随着新冠肺炎的这个影响,现在有越来越多的人都不得不接受远程办公,或者主动的来接受远程办公。


根据 Gartner 在去年的一个报告显示,有超过 90% 的 HR 的领导者正在计划或者是已经允许公司的员工来进行远程的办公我们现在企业的办公模式正在发生巨大的变革,就有可能我们在出差的路上,比如在家里,甚至在地铁上,在星巴克可能都可以远程办公,这已经成为很多公司的新常态。


远程工作在提高工作效率的同时也带来了一些问题。首先远程工作它因为不在办公室,所以网络安全的边界就扩大了,这个时候接入了终端增加,对于我们的企业来说,我们就增加了数据泄露的风险,同时可以从网络的四面八方接入到企业的内网,以后有可能也会面临着一些网络的攻击。当然实事求是的说,即使没有新冠肺炎这个疫情的推动,远程办公也必将成为一种新的潮流,新的模式,因为现在随着云计算技术的不断的发展,不断的普及,有越来越多的公司采用了一些 SARS 化的应用,或者逐步的把他们的基础设施都已经上云,所以必然会有越来越多的公司的网络架构变成本地有自己的局域网络,云上有云上的网络,两者会互相结合到一起来形成对应的混合云架构。


再加上办公地点不再局限,我可能不一定非在公司里办公,我可能在任何的地方办公,所以通过公网联入,或者是通过 VPN 的方式联入到我们的这个混合云的网络里面,是成为一个很常态化的事情,所以对于我们网络管理、网络安全都带来了巨大的挑战。


再就是现在很多创新型的业务只靠自己一家公司是很难全部来完成的,所以它就需要有很多上游、下游各种合作伙伴一起来完成一个系统,所以这样互相的交流,互相的这种沟通的这个成本或者这种需求就会激增,所以人人角色不固定,也对我们这种混合办公的远程办公提出了一些新的要求在这样的背景之下,阿里云提出了远程办公零信任的解决方案。

 

二、阿里云零信任解决方案思路和重要产品组成

阿里云推出了自己的零信任解决方案,这个解决方案或者这个平台框架是基于云架构跟全球的高速网络,构建了安全的接入网关,统一的身份网关跟应用安全网关,我们可以看到是三个网关,因为我们刚刚在分析这种新型办公模式下为什么需要灵性上的解决方案?


它主要面临的两个大的挑战,其中有一个就是网关的出口问题,所以我们这里构建了三类的安全网关。 通过对每个访问主体去访问企业资源的身份、设备、位置、行为等去进行持续的风险评估和信任,这也是我们刚刚所说的零信任的基本原则的这样的一个贯彻,这样就能够实现主体在任何网络位置下的安全高效来访问企业的资源,这个时候就不再去有这种默认信任的边界,所有访问企业的资源的请求都需要经过授权,这就是体现零信任的基本的这种要素在里面。

图片93.png

纵观整个架构,主要包含了两个关键词,可信跟动态,阿里云的办公零信任的解决方案就是以可信和动态为核心,把我们经过认证可信认证体系的这些这种 IP, 设备,应用在进入我们的办公网络进行一些操作,比如获取权限或者调用数据时,它可以凭借可信的认证来获取这个权限,从而来实现动态的安全防护。


整个方案包含了三个大的核心模块,第一个叫做远程终端的安全管理,这个远程终端进行访问的时候,都需要通过可信的认证跟身份的管理,只有通过认证的设备才能够去访问我们的一些内部系统,同时在远程终端安全管理这套系统里会去分析采集这些终端的安全数据来判断入网的设备是否具备一定的安全性。


第二个部分是这个UEBA,也就是持续风险评估决策中心,这是一个云端的动态决策管控系统,它会对访问者的信息采取交叉安全认证的方式来进行统一的高强度的安全认证,同时会采用人工智能的模型来分析这些认证的结果,以此来综合判断访问者访问身份的可信等级,从而来实现用户权限的动态分配。


再是统一的可信网络,这个主要是通过 idaas 统一身份网关这个产品来去实现。 idaas这个产品打通了不同应用系统的身份认证的体系,用户授权的体系,通过 UEBA 里智能管理中心,来实现集中权限管理跟统一认证工中心的这样的能力。

 

三、阿里云零信任办公安全平台架构

我们来看整体的安全平台架构,在这个架构里主要解决两个问题,一个是解决办公来访问互联网服务这样的场景底下的安全问题,第二个是解决在办公的时候去访问内网服务场景底下的安全问题。
图片94.png在这个架构有三个核心的元素,第一个是统一身份服务,这里面主要是通过这几个手段去实现这个目标。


首先是应用身份的服务idaas, idaas 是整个零信任架构的身份底座,它实现了统一身份、集中权限管理、动态授权等像这些的能力。idaas的作用是打通应用和身份,这样再配合像多因素认证、单点登录等这样的手段就能够去满足认证的安全要求。


第二个核心要素是装网访问或者叫内网访问,这里有个缩写PA,指的是 private assess ,装网访问的意思。在这里面我们主要通过这几个手段,一个是应用引申,让应用这个避免暴露在更多的网络安全风险底下,这个更安全。 第二个边缘安全引擎以及这个访问加速支持 pop 点去加速去访问。第三个核心要素是互联网访问,就是 Internet assess,这里主要是这两个手段都是通过云安全访问服务来提供。第一个是行为管理,行为管理是可以记录一些我们的一些网络上网的行为,并且配置一些对应的管控策略,办公数据保护是一种轻量型的DLP, DLP 是数据泄露防护技术,也提供了这样的技术,这样可以针对我们的办公文件、敏感文件去进行保护,就能保护我们的办公数据安全。

相关文章
|
云安全 移动开发 安全
04-零信任安全-ACA(二)
04-零信任安全-ACA(二)
123 0
|
存储 运维 安全
阿里云认证为什么那么多人考?哪个证书含金量高?
为什么现在阿里云占市场的份额最多?为什么阿里云的证书含金量那么高?
|
分布式计算 数据可视化 搜索推荐
阿里云ACA认证证书有什么用?含金量怎么样?
阿里云作为国内云计算行业的龙头老大,其旗下的认证证书含金量是非常高的,今天主要针对ACA证书进行介绍。
3393 0
阿里云ACA认证证书有什么用?含金量怎么样?
阿里云ACA认证是不是很简单?怎么样能考过?
对于很多应届毕业生来说,在即将踏入社会时,最需要的就是能丰富自己简历的工具,尤其是对于IT行业的人来说,刚毕业能不能获得进入互联网大厂的机会,是至关重要的;另一方面,很多工作了几年后想转行的人,自己本身没有什么基础,但还是想进入IT这个高薪行业来给自己的人生带来新现象。
1560 0
阿里云ACA认证是不是很简单?怎么样能考过?
|
云安全 人工智能 弹性计算
为什么说阿里云认证的含金量高?
云计算行业是未来最热门的行业之一,而且下一个十年,是云计算行业蓬勃发展的十年,很多人想进入这一行,那就不得不提到一个好帮手,业内含金量很高的阿里云认证证书。
2149 0
为什么说阿里云认证的含金量高?
|
人工智能 安全 物联网
阿里云认证证书有含金量吗?考哪个比较好?
随着信息技术不断发展,我们的生活越来越智能化,而各大企业更是抓住了这个发展浪潮,让企业纷纷上云,这也就导致行业需要大量人才,让企业能第一眼看到你的方法就是考取阿里云认证证书,下面就和小编一起了解一下吧。
637 0
阿里云认证证书有含金量吗?考哪个比较好?
|
云安全 人工智能 Cloud Native
关于阿里云aca和acp哪个好?阿里云认证证书有含金量吗?
由于网络的变迁,为网络行业的兴起提供了很好的发展。在其中出现了更多的新职位,从而为许多人创造了更大的就业机会,与此同时也增加了就业竞争。 那么接下来跟随着认证大使的小编一起了解下关于阿里云aca和acp哪个好?
2207 0
关于阿里云aca和acp哪个好?阿里云认证证书有含金量吗?
|
云安全 人工智能 架构师
阿里云认证ace的含金量高吗?阿里云认证ace的作用
阿里云认证ace证书是近几年出现的新词汇,至于阿里云认证ace证书是起到什么作用我们就不是很了解了,今天认证大使工作人员为我们介绍一下阿里云认证ace的含金量高吗?
2975 0
阿里云认证ace的含金量高吗?阿里云认证ace的作用
|
分布式计算 数据可视化 搜索推荐
什么是阿里云aca认证,阿里云aca认证有用吗
现在的就业形势比较严峻的,很多行业没有相应的证书、认证是根本就进不去的。虽然说能力不一定跟证书、认证相匹配,但是毕竟这是了解一个人是否具备相应能力的凭证。在互联网行业里,有一个认证是很多人都听说过,并且认可的,那就是阿里云aca认证。作为阿里云认证中最基础的一个,到底有没有用?今天就让认证大使为大家介绍什么是阿里云aca认证,阿里云aca认证有用吗。
2040 1
什么是阿里云aca认证,阿里云aca认证有用吗
|
云安全 存储 运维
阿里云ACA认证,最具价值的认证
(Apsara Clouder)技能认证是阿里云大学2017年6月推出的,轻量化、碎片化的在线学-练-考一体化模式的认证,让更多关注云计算、大数据、云安全技术的开发者们,能够快速上手了解对应的技能,并学以致用。让价值变现大数据+云计算+云安全助你得到梦想中的offer。
511 0