零信任概念

简介: 2010 年,原 Forrester 副总裁兼分析师,现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任,始终验证”思想提出零信任模型 Zero Trust Model,零信任概念开始得到业界关注并被广泛认可。当下,信息技术已经融入到我们日常生活中,每一个现代公民,应当了解零信任的基本概念。

2010 年,原 Forrester 副总裁兼分析师,现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任,始终验证”思想提出零信任模型 Zero Trust Model,零信任概念开始得到业界关注并被广泛认可。当下,信息技术已经融入到我们日常生活中,每一个现代公民,应当了解零信任的基本概念。

定义与概念

软件定义边界 SDP

零信任 ZT

零信任 Zero Trust 这个词本身的定义,通俗易懂:在通过认证之前不信任任何人、设备、应用人、设备、应用是信息活动中、具备身份标识的主体。零信任的指导思想是永不信任,始终验证

《零信任网络: 在不可信网络中构建安全系统》一书,提出了零信任的五个基本假设(所有零信任安全解决方案都是基于这五个基本假设):

  1. 网络无时无刻不处于危险的环境中。
  2. 网络中自始至终存在外部或内部威胁。
  3. 网络的位置不足以决定网络的可信程度。
  4. 所有的设备、用户和网络流量都应当经过认证和授权。
  5. 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

零信任网络 ZTN

零信任网络定义,对应到五个基本假设中的前3个。

零信任网络访问 ZTNA

零信任网络访问,是指客体(人、设备、应用)透过零信任网络,访问企业的资源。零信任网络访问的定义,对应五个基本假设的后2个。

零信任安全架构 ZTA

基于零信任理念,制定企业的安全治理架构,称为零信任安全架构 Zero Trust Architecture
当前业界对零信任安全架构的定义,是美国国家标准技术研究所NISTNIST.SP.800-207草案中的定义:

零信任安全架构ZTA提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。

软件定义边界 Software Defined Perimeter

2013 年,云安全联盟 CSA 提出 SDP(Software Defined Perimeter)软件定义边界,成为零信任的第一个解决方案。云安全联盟 CSA 的SDP组编写并发布了SDP Spec1.0

SDP的基本原则是ABCD:

  • A: 不假设任何事(Assume nothing)
  • B: 不相信任何人(Believe nobody)
  • C: 检查所有内容(Check everything)
  • D: 阻止威胁(Defeat threats)

谷歌BeyondCorp

零信任第一个商业实现,是由谷歌完成的。

2014年开始,谷歌基于其内部项目BeyondCorp的研究成果,发表了多篇论文,阐述了谷歌如何在其内部为员工构建零信任架构。

谷歌已经将BeyondCorp的成果,孵化成为谷歌云GCP的一项云服务Beyondcorp Enterprise,开放给其他企业使用。BeyondCorp的目标是让所有员工不需要使用VPN,也能透过不受信任的网络安心处理工作

服务提供商

零信任网络接入SaaS/PaaS服务提供商

  • Akamai: Enterprise Application Access (企业应用程序访问)
  • Cato Networks: Cato Cloud (Cato 云)
  • Cisico: Duo Beyond (由思科收购)
  • CloudDeep Technology(仅限中国): DeepCloudSDP
  • CloudFlare: CloudFlare Access
  • InstaSafe: Secure Access
  • Meta Networks: Network as a Service Platform
  • New Edge: Secure Application Network
  • Okta: Okta身份云(收购ScaleFT)
  • Perimeter 81: Software Defined Perimeter
  • SAIFE: Continuum
  • 赛门铁克: Luminate
  • Verizon: Vidder Precision Access
  • Zscaler: Private Access

零信任网络接入独立软件提供商

  • BlackRidge Technology: Transport Access Control
  • Certs Networks: Zero Trust WAN
  • Cyxtera: AppGate SDP
  • Google Cloud Platform: 云身份感知代理(云IAP)
  • Microsoft: Azure AD Application Proxy
  • Pulse Secure: Pulse SDP
  • Saft-T: Software-Defined Access Suite
  • Unisys: Stealth
  • Waverley Labs: Open Source Software Defined Perimeter
  • Zentera Systems: Cloud-Over-IP(COiP) Access

Reference

Gartner-零信任架构及解决方案

cyberark

软件定义边界(SDP)和零信任

更多云最佳实践

相关文章
|
1月前
|
供应链 监控 安全
网络安全中的零信任架构:从概念到部署
网络安全中的零信任架构:从概念到部署
|
4月前
|
监控 安全 网络安全
零信任安全模型及其在网络中的实现
【8月更文挑战第24天】
145 1
|
4月前
|
监控 安全 网络安全
零信任架构规范
零信任架构规范
110 1
|
4月前
|
监控 安全 网络安全
什么是零信任模型?
【8月更文挑战第24天】
154 0
|
7月前
|
监控 安全 Cloud Native
零信任安全模型:构建未来数字世界的安全基石
在数字化转型的浪潮中,云原生技术已成为推动企业创新和灵活性的关键力量💡。然而,随着技术的进步和应用的广泛,网络安全威胁也日益严峻🔓,传统的网络安全模型已经难以应对复杂多变的网络环境。在这样的背景下,零信任安全模型(Zero Trust)应运而生,成为提升网络安全防护能力的重要策略🛡️。本文将深入探讨零信任的概念、必要性、以及它如何解决传统网络模型面临的痛点和挑战。
零信任安全模型:构建未来数字世界的安全基石
|
7月前
|
安全 中间件 测试技术
不信任任何人,无处不在——Enarx简介
不信任任何人,无处不在——Enarx简介
116 0
|
7月前
|
安全 网络安全 数据安全/隐私保护
零信任网络概念
零信任网络概念
|
存储 安全 Linux
解密区块链:当你最需要信任的时候,它会为你建立信任
解密区块链:当你最需要信任的时候,它会为你建立信任
|
Windows 数据安全/隐私保护 网络协议
|
算法 芯片 开发者
【视频】建信任|学习笔记
快速学习【视频】建信任