AI 助理
备案控制台
开发者社区 安全 文章 正文

零信任概念

2021-08-27 955
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 2010 年,原 Forrester 副总裁兼分析师,现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任,始终验证”思想提出零信任模型 Zero Trust Model,零信任概念开始得到业界关注并被广泛认可。当下,信息技术已经融入到我们日常生活中,每一个现代公民,应当了解零信任的基本概念。

2010 年,原 Forrester 副总裁兼分析师,现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任,始终验证”思想提出零信任模型 Zero Trust Model,零信任概念开始得到业界关注并被广泛认可。当下,信息技术已经融入到我们日常生活中,每一个现代公民,应当了解零信任的基本概念。

定义与概念

软件定义边界 SDP

零信任 ZT

零信任 Zero Trust 这个词本身的定义,通俗易懂:在通过认证之前不信任任何人、设备、应用人、设备、应用是信息活动中、具备身份标识的主体。零信任的指导思想是永不信任,始终验证

《零信任网络: 在不可信网络中构建安全系统》一书,提出了零信任的五个基本假设(所有零信任安全解决方案都是基于这五个基本假设):

  1. 网络无时无刻不处于危险的环境中。
  2. 网络中自始至终存在外部或内部威胁。
  3. 网络的位置不足以决定网络的可信程度。
  4. 所有的设备、用户和网络流量都应当经过认证和授权。
  5. 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

零信任网络 ZTN

零信任网络定义,对应到五个基本假设中的前3个。

零信任网络访问 ZTNA

零信任网络访问,是指客体(人、设备、应用)透过零信任网络,访问企业的资源。零信任网络访问的定义,对应五个基本假设的后2个。

零信任安全架构 ZTA

基于零信任理念,制定企业的安全治理架构,称为零信任安全架构 Zero Trust Architecture
当前业界对零信任安全架构的定义,是美国国家标准技术研究所NISTNIST.SP.800-207草案中的定义:

零信任安全架构ZTA提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。

软件定义边界 Software Defined Perimeter

2013 年,云安全联盟 CSA 提出 SDP(Software Defined Perimeter)软件定义边界,成为零信任的第一个解决方案。云安全联盟 CSA 的SDP组编写并发布了SDP Spec1.0

SDP的基本原则是ABCD:

  • A: 不假设任何事(Assume nothing)
  • B: 不相信任何人(Believe nobody)
  • C: 检查所有内容(Check everything)
  • D: 阻止威胁(Defeat threats)

谷歌BeyondCorp

零信任第一个商业实现,是由谷歌完成的。

2014年开始,谷歌基于其内部项目BeyondCorp的研究成果,发表了多篇论文,阐述了谷歌如何在其内部为员工构建零信任架构。

谷歌已经将BeyondCorp的成果,孵化成为谷歌云GCP的一项云服务Beyondcorp Enterprise,开放给其他企业使用。BeyondCorp的目标是让所有员工不需要使用VPN,也能透过不受信任的网络安心处理工作

服务提供商

零信任网络接入SaaS/PaaS服务提供商

  • Akamai: Enterprise Application Access (企业应用程序访问)
  • Cato Networks: Cato Cloud (Cato 云)
  • Cisico: Duo Beyond (由思科收购)
  • CloudDeep Technology(仅限中国): DeepCloudSDP
  • CloudFlare: CloudFlare Access
  • InstaSafe: Secure Access
  • Meta Networks: Network as a Service Platform
  • New Edge: Secure Application Network
  • Okta: Okta身份云(收购ScaleFT)
  • Perimeter 81: Software Defined Perimeter
  • SAIFE: Continuum
  • 赛门铁克: Luminate
  • Verizon: Vidder Precision Access
  • Zscaler: Private Access

零信任网络接入独立软件提供商

  • BlackRidge Technology: Transport Access Control
  • Certs Networks: Zero Trust WAN
  • Cyxtera: AppGate SDP
  • Google Cloud Platform: 云身份感知代理(云IAP)
  • Microsoft: Azure AD Application Proxy
  • Pulse Secure: Pulse SDP
  • Saft-T: Software-Defined Access Suite
  • Unisys: Stealth
  • Waverley Labs: Open Source Software Defined Perimeter
  • Zentera Systems: Cloud-Over-IP(COiP) Access

Reference

Gartner-零信任架构及解决方案

cyberark

软件定义边界(SDP)和零信任

更多云最佳实践

文章标签:
前端开发
UED
云安全
网络虚拟化
安全
花的不得了
目录
相关文章
三川chocolate
|
11月前
|
存储 算法 安全
区块链概念介绍
介绍区块链及EOS的相关概念
三川chocolate
115 0
一名技术开发者
|
14天前
|
人工智能 监控 安全
与信任问题共存:零信任架构的人性化一面
与信任问题共存:零信任架构的人性化一面
一名技术开发者
564 0
wljslmz
|
18天前
|
监控 安全 网络安全
零信任安全模型及其在网络中的实现
【8月更文挑战第24天】
wljslmz
56 1
charlieroro
|
1月前
|
监控 安全 网络安全
零信任架构规范
零信任架构规范
charlieroro
36 1
wljslmz
|
18天前
|
监控 安全 网络安全
什么是零信任模型?
【8月更文挑战第24天】
wljslmz
12 0
游客2xksyu44sqbag
|
4月前
|
监控 安全 Cloud Native
零信任安全模型:构建未来数字世界的安全基石
在数字化转型的浪潮中,云原生技术已成为推动企业创新和灵活性的关键力量💡。然而,随着技术的进步和应用的广泛,网络安全威胁也日益严峻🔓,传统的网络安全模型已经难以应对复杂多变的网络环境。在这样的背景下,零信任安全模型(Zero Trust)应运而生,成为提升网络安全防护能力的重要策略🛡️。本文将深入探讨零信任的概念、必要性、以及它如何解决传统网络模型面临的痛点和挑战。
游客2xksyu44sqbag
154 0
零信任安全模型:构建未来数字世界的安全基石
Hcoco_me
|
4月前
|
安全 中间件 测试技术
不信任任何人,无处不在——Enarx简介
不信任任何人,无处不在——Enarx简介
Hcoco_me
72 0
游客3y6l2ubd4u4lq
|
4月前
|
安全 网络安全 数据安全/隐私保护
零信任网络概念
零信任网络概念
游客3y6l2ubd4u4lq
86 0
Syscloud犀思云
|
4月前
|
安全 数据可视化 网络安全
关于零信任的 “灵魂” 12问,企业未来如何适配“零信任”?
过去提到网络安全,以前人们立马想到的会是“VPN”、“防火墙”和“WAF”等;如今随着5G、物联网时代的到来,企业不断被迫重构安全边界,甚至出现一种声音:“零信任”或许会取代企业VPN。
Syscloud犀思云
277 0
以山向海
|
10月前
去中心化和中心化的解释
去中心化和中心化的解释
以山向海
182 2