VPN淘汰,零信任接入崛起

简介: VPN淘汰,零信任接入崛起

前言

随着企业远程办公需求的增加及数字化转型的迅速发展,企业越发关注安全建设,零信任市场呈现火热态势。国内外各大型网络安全会议的召开,也使得零信任议题格外突出,大量与零信任相关的产品、论坛、词汇和概念频繁出现,许多人对这些概念及其关系感到困惑。业界各类角色,如客户、政府、厂商、研究机构,由于接触到的信息不同,也存在着各说各话、沟通不畅的问题。


随着零信任建设的推进,到2023年,已经出现了许多零信任架构标准、技术实现标准甚至评估标准。对于技术实现,不同角色有自己的考量,具体的实施方案因人而异。现在业界形成了多样化的方案,积累了丰富的落地实践经验。在开放性上,笔者以前所从事的界面开发框架、后台服务组件等领域能够通过开源方式促进技术的交流与发展,而在安全领域,开源受到制约,原因是:首先,产品进行开源确实会增加被攻击利用的风险;其次,客户也会对此有一些安全上的担忧。


在此背景下,笔者认为,撰写一本介绍零信任安全的书将有利于业界的技术交流,帮助更多从业者了解这一方向的方案和技术。此外,笔者曾主导或参与过一些零信任标准制定工作,认识到相关标准对于推动零信任落地的重要性,因此本书还介绍了国内和国际上的主要零信任标准。


无论企业还是研究机构,深入了解零信任,提升认知,更能达成广泛的共识,加速这个行业的发展。


读者对象

企业信息化建设人员


企业数字化转型人员


网络安全部门决策者


网络安全领域从业人员


其他对零信任安全感兴趣的人员


目录

目  录    Contents


前言


特别鸣谢


第1章 企业安全面临的新挑战 1


1.1 混合办公、业务上云的安全


  挑战 1


1.1.1 混合办公 2


1.1.2 业务上云 2


1.2 移动终端面临的威胁 3


1.2.1 移动终端存在安全隐患 3


1.2.2 跨团队协作更加频繁,员工


  主动泄密风险加大 4


1.2.3 业务混合云部署的安全风险


  加大 4


1.3 内网边界被突破的威胁 4


1.3.1 办公网络面临威胁 4


1.3.2 数据中心内部流量管控难度


  加大 5


1.4 数据安全的监管合规约束 6


1.4.1 企业数据合规风险激增 6


1.4.2 海量数据的分级分类访问控


  制面临新挑战 6


1.4.3 企业内部人员泄密更加隐蔽


  和难以防范 7


1.4.4 个人隐私保护面临挑战 7


1.5 身份安全的治理难点 7


1.5.1 身份管理对象复杂 8


1.5.2 身份统一管理的需求激增 8


1.5.3 权限治理的实时性挑战增大 8


1.6 用户访问场景安全的平衡性挑战 9


1.6.1 在不影响业务效率的情况下


  保障安全 9


1.6.2 保证安全弹性,适应业务


  需求变化 9


第2章 零信任的核心概念、解决


   方案及标准 10


2.1 零信任理念和相关概念 11


2.1.1 零信任理念 11


2.1.2 零信任模型 14


2.1.3 零信任系统 16


2.1.4 零信任网络 17


2.1.5 零信任体系结构 18


2.2 零信任解决方案 19


2.2.1 微分区 20


2.2.2 微隔离 20


2.2.3 软件定义边界 20


2.3 国内外相关标准 21


2.3.1 标准化的原因及作用 21


2.3.2 零信任国际标准进程 23


2.3.3 零信任国内标准进程 27


2.3.4 国内实践在国际标准上的


  突围 28


2.3.5 现状:零信任在标准中的


  定义 29


第3章 零信任体系结构 30


3.1 零信任体系结构的定义 30


3.2 零信任体系结构的基本原则 31


3.3 典型的零信任体系结构 31


3.3.1 NIST零信任体系结构 32


3.3.2 SDP 零信任体系结构 34


3.4 通用的零信任体系结构 35


3.5 不同场景的零信任体系结构


 应用 36


3.5.1 用户访问资源场景 36


3.5.2 服务间访问场景 38


3.6 零信任体系结构的相关威胁 40


3.6.1 破坏访问决策过程 40


3.6.2 拒绝服务或网络中断 40


3.6.3 凭证被盗和内部威胁 40


3.6.4 网络攻击威胁 41


3.6.5 系统存储网络访问信息 41


3.6.6 依赖专有的数据格式或解决


  方案 42


3.6.7 体系结构管理中非个人实体


  的使用 42


第4章 用户访问服务场景及技术


   方案 44


4.1 场景概述 44


4.1.1 主流办公场景分析 44


4.1.2 政策合规场景分析 45


4.2 零信任网络接入 52


4.2.1 零信任网络接入的实现框架 52


4.2.2 有端接入场景和实现方案 53


4.2.3 无端接入场景和实现方案 78


4.2.4 部署容灾方案 79


4.3 零信任网络接入的扩展体系


  结构 80


4.3.1 身份安全 82


4.3.2 网络流量安全 93


4.3.3 终端设备安全 96


4.3.4 数据安全 97


4.3.5 企业安全建设路径 100


第5章 服务访问服务场景及技术


   方案 101


5.1 场景概述 101


5.1.1 工作负载访问场景分析 101


5.1.2 政策合规场景分析 103


5.2 技术实现 105


5.2.1 微隔离技术实现 105


5.2.2 云应用隔离技术实现 117


第6章 零信任体系规划和建设


   指引 123


6.1 零信任体系规划 123


6.1.1 体系规划概述 124


6.1.2 关键对象的安全规划 125


6.1.3 安全指标 142


6.2 零信任建设指引 145


6.2.1 安全团队建设 145


6.2.2 零信任战略 147


6.2.3 零信任建设价值 147


6.2.4 零信任实施范围 151


6.2.5 实际业务场景的实现方案 153


6.2.6 零信任实施过程管理 155


6.2.7 零信任成熟度 167


第7章 核心行业的零信任应用


   实战 172


7.1 通信行业应用实战 172


7.1.1 某运营商远程办公的零信任


  建设案例 172


7.1.2 某移动通信公司DCN网络的


  零信任建设案例 176


7.2 金融行业应用实战 181


7.2.1 某互联网金融企业的零信任


  建设案例 181


7.2.2 某头部证券公司的零信任


  建设案例 186


7.3 能源行业应用实战:某能源集团


  数字化转型的零信任建设案例 190


7.4 互联网行业应用实战 193


7.4.1 某全球综合性公司的零信任


  建设案例 193


7.4.2 某大型智能科技集团的零


  信任建设案例 199


7.5 央企/国企应用实战 204


7.5.1 某央企集团的零信任建设


  案例 204


7.5.2 某大型国企集团的零信任


  建设案例 208


后记214



目录
相关文章
|
4月前
|
监控 安全 网络安全
【网络互联新篇章】揭秘转发路由器:企业级互联网络的守护神,打造坚不可摧的信息高速公路!
【8月更文挑战第13天】转发路由器(TR)是企业级网络架构中的关键组件,实现不同网络间互联互通,提供灵活性与可靠性。TR负责路由决策、负载均衡、故障恢复及安全保障。配置涉及接口、路由协议及安全策略设定。适用于多数据中心互联、云服务接入、ISP网络核心及企业分支互联等场景。确保TR高可用性和安全性需采用冗余配置、加密传输、严格的安全策略及持续监控。
60 1
|
5月前
|
监控 安全 网络安全
云端守护者:云计算时代的网络安全策略
随着企业和个人用户日益依赖云服务,网络安全在云计算环境中的重要性愈加凸显。本文深入探讨了云计算与网络安全的紧密联系,剖析了云服务中存在的安全威胁及其应对措施。从数据加密到身份验证,再到访问控制和安全监控,我们逐一分析了保障云环境安全的技术手段,并提出了构建全方位网络安全防护体系的策略。文章旨在为读者提供一套实用的云计算网络安全指南,以促进更安全、更可靠的云服务使用体验。 【7月更文挑战第30天】
57 7
|
4月前
|
安全 网络安全 数据处理
防火墙设置难倒你?这两种组网模式轻松解决网络安全难题!
【8月更文挑战第23天】在网络安全日益重要的今天,防火墙作为关键防护设备扮演着重要角色。本文重点分析两种核心组网模式:三层路由网关模式与二层透明网桥模式。前者通过IP层处理实现内外网隔离及丰富的策略配置,增强安全性;后者以MAC地址转发,部署简便,不影响现有网络结构,适合服务不可中断的情况。通过企业升级安全防护的实际案例,展示了不同模式的应用场景及优势,并提供了三层路由网关模式的配置示例。正确选择和配置防火墙组网模式对于提高网络安全性和保证业务连续性至关重要。
97 0
|
6月前
|
安全 网络安全 数据安全/隐私保护
私人住宅IP:发挥IPXProxy的速度优势
在当今数字化的世界中,保护个人在线隐私和数据安全显得尤为重要。随着互联网使用的普及,我们在网络上留下的每一个痕迹都可能泄露个人信息或导致数据被盗。为了提升网络安全性和保证在线活动的顺畅进行,越来越多的人选择使用私人住宅IP作为他们的网络代理工具。那么,私人住宅IP究竟是什么?它如何在连接速度上具备独特的优势?
|
7月前
|
运维 安全 Cloud Native
安全访问服务边缘(SASE):网络新时代的安全与连接解决方案
SASE(安全访问服务边缘)是一种云基安全模型,结合了网络功能和安全策略,由Gartner在2019年提出。它强调身份驱动的私有网络、云原生架构和全面边缘支持,旨在解决传统WAN和安全方案的局限性,如高延迟和分散管理。SASE通过降低IT成本、提升安全响应和网络性能,应对数据分散、风险控制和访问速度等问题,适用于移动办公、多分支办公等场景。随着网络安全挑战的增加,SASE将在企业的数字化转型中扮演关键角色。
|
7月前
|
网络协议 安全 网络安全
4. 网络安全基础与网络接入
4. 网络安全基础与网络接入
|
消息中间件 安全 JavaScript
65% 的公司正在考虑采用 VPN 替代方案
65% 的公司正在考虑采用 VPN 替代方案
|
安全 网络安全 网络虚拟化
基于零信任理念,SDP 与 VPN 配合进行远程工作
几十年来,企业一直使用VPN来建立安全、加密的远程通信服务。然而,随着网络威胁频率和复杂性的增加,VPN不一定能提供最安全的环境来远程访问内部网络及其相关系统。
666 0