零信任如何破除传统安全防护困局(问一问：如何做好自身安全防护有哪些）

动态新闻更新时间：2023-05-27 13:34:49作者：高三网

一个教培人十月最后的心得，远方很远，依旧灿烂。【图文】学生很远远方灿烂

相信目前很多小伙伴对于零信任如何破除传统安全防护困局这方面的内容都很感兴趣，如今小王就为大家整理了一些关于如何做好自身安，....更多关于零信任如何破除传统安全防护困局的生活知识，我们随着小编整理的如何做好自身安全防护详细内容一起继续深入学习吧。

零信任如何破除传统安全防护困局

相信目前很多小伙伴对于零信任如何破除传统安全防护困局这方面的内容都很感兴趣，如今小王就为大家整理了一些关于如何做好自身安全防护相关的信息分享给大家，希望能够帮助到你。

简介：

目前，传统边境保护在应对新技术和新业务场景时面临安全困境。为了有效应对新商业模式下的网络安全挑战，零信任应运而生。本文从企业安全运营的角度出发，重点探讨了基于SDP的零信任架构的实现机制和关键技术应用，并分享了远程办公、移动运营、云资源访问等零信任场景的应用。

以往基于分区和边界保护原则的护城河式安全建设框架，在一定程度上满足了网络安全的要求。然而，随着云计算、5G、边缘计算等新技术的普及，业务多样化、应用对外开放和商业生态协同的发展，远程/移动办公成为常态。网络“边界”逐渐模糊带来的新风险和更高级的内外威胁的出现，进一步暴露了传统边界安全和静态访问控制的不足。

图1传统边境保护面临的困境

传统的边界保护思想，对于不同安全级别的资源保护，基本采用分区、子域的方式，在不同域之间形成网络边界，部署防火墙、IPS、气墙、WAF等。在网络边界防止来自边界外的各种攻击，从而构建企业网络安全防护体系。这种传统的方式可以称为边境安全的概念。

在边界安全的概念中，网络的位置决定了信任的程度。默认情况下，安全区域边界之外的用户不受信任(不安全),并且没有太多的访问权限。边界外的用户需要通过防火墙、VPN等安全机制访问边界内的网络。安全区的用户默认是安全可信的，在进行业务操作时不会做过多的行为监控和操作审核。所以就有了过度信任的问题(认为是安全的，被赋予了太多的权限)。

同时，由于边界安全设备部署在网络边界，缺乏来自终端侧和资源侧的安全数据，两者之间缺乏联动，对威胁的安全分析不够全面。因此，内部威胁检测和保护能力不足，安全分析的覆盖面不完整，这成为边境安全概念的固有弱点。甚至很多企业只是把内网和外网(互联网)划分的很粗，这种风险就更明显了。

此外，随着云计算、物联网、移动办公等新技术、新应用的兴起，企业数字化转型带来了业务架构和网络环境的显著变化，对传统的边界安全理念带来了新的挑战。

比如，业务在云上的普及让物理安全边界逐渐模糊，疫情让远程办公、多方协同办公成为常态，这些都增加了业务接入需求的复杂性，扩大了内部资源的暴露面；各类设备(BYOD设备、智能终端等。)以及各种人的接入带来了设备和人的管理难度以及安全因素不可控的风险。高级威胁攻击(网络钓鱼攻击、恶意攻击、0day漏洞攻击等。)带来边境安全保护机制被打破的风险。

这些都对传统的边界安全概念和保护措施(如边界安全设备、简单的用户认证、静态和粗粒度的ACL访问控制等)提出了挑战。)，迫切需要更好的安全防护理念和解决方案。

传统的边境安全观念先天能力不足，新技术新应用带来了新的安全挑战。在这样的背景下，成立于2004年的杰里科论坛提出了限制基于网络位置的隐性信任，不依赖静态防御，以定义无边界趋势下的网络安全问题，寻求解决方案。这是零信任最早的雏形。

2010年，国际知名研究机构Forrester的首席分析师JohnKindervag首次提出了零信任安全的概念。他总结了隐性信任的潜在风险

之后，谷歌用了6年时间(2011 -2017年)逐步完成了BeyondCorp的零信任架构的迁移。它的目标是抛弃对企业特权网络(intranet)的依赖，创建一种新的安全访问模式。员工在访问企业中的IT设备、应用数据和其他资源时，只依赖受控设备和用户身份证书，而不考虑用户的网络位置。博彦科技零信任架构的成功实践，增加了国内外各大厂商推进零信任架构优化和产品研发的动力，“去边界化”和“以身份为中心”的零信任架构不断演进。

NIST零信任标准于2019年发布，首次提出了零信任的标准定义和实用技术架构，强调零信任是安全概念而非技术，并指出了目前实现零信任架构的三大技术“SIM”:

图2零信任的三条技术路线

图片来自：《零信任架构的3大核心技术》

https://blog.csdn.net/yutao929/article/details/113625306

目前基于零信任的三种主流技术，在大型互联网公司和安全公司都有不同的产品和解决方案。三种技术可以根据业务应用场景相互结合，优势互补。

基于首次应用于云中软件定义的边界和服务安全访问的SDP，IAM专注于身份增强认证和访问权限的动态检测。MSG主要解决云主机或云服务之间的访问隔离，类似于云防火墙和VPC网络安全策略，旨在隔离和防御云上的东西向攻击流量。近年来，各研究机构根据三种技术路线的特点推出了典型的零信任技术实现架构，主要包括软件定义边界(SDP)架构、NIST零信任架构和零信任通用架构。

软件定义的边界(SDP)架构

SDP是一个开放的技术架构，它的概念和零信任非常相似。许多国内外安全厂商都在推出基于SDP技术的零信任产品。可以说，SDP是目前实现零信任概念的最佳技术框架之一。

图3软件定义的边界(SDP)架构

图片来自：《SDP标准规范1.0》

如图3所示，软件定义的边界(SDP)架构由SDP客户端、SDP控制器和SDP网关组成：

/p>

用SDP术语来说，客户端（用户设备）指的是发起主机（Initiating Host），网关指的是接收主机(Accepting Host)。在通过控制器进行身份验证后，客户端为每个网关建立加密的隧道（如上图3显示了两个分布式网关，每个网关保护一组不同的资源，由单个控制器管理）。

SDP架构提供的协议在网络所有层都对连接提供保护，其中关键的组成部分之一是要求并强制实施“先认证后连接”模型，该模型弥补了TCP/IP开放且不安全性质的不足。

SDP通过单包授权（SPA）实现这一点。SPA是一种轻量级安全协议，在允许访问控制器或网关等相关系统组件所在的网络之前先检查设备或用户身份。使用这种技术，客户端基于一个共享密钥（seed）创建一个基于消息认证码算法（HMAC）的一次性口令，并将其提交给SDP控制器和网关，作为连接建立过程发送的第一个网络数据包。（它也用于网关与控制器的连接建立）。

因为SDP控制器和网关拒绝无效的数据包（可能来自未经授权的用户），因此，它们可以防止未经授权的用户或设备建立TCP连接。由于非法客户端的识别可以通过分析单个数据包来区分，所以SDP控制器和网关所产生的计算负载是最小的，这极大降低了DDoS攻击的有效性，并使得SDP服务可以在面向公众的网络中可以更安全、更可靠地部署。在2014年-2016年间举办的四次SDP黑客大赛中，SDP架构均保持了零攻破的成绩。

NIST零信任架构

美国国家标准与技术研究院NIST认识到，向零信任架构转型是漫长的旅程而不是简单的置换企业现有的基础设施，预计大部分企业将以混合模式（即零信任模式与传统模式）运作很长时间。

NIST标准中重点提到，零信任模式并不是一个单一的网络架构或技术产品，它是一套理念、战略、架构，零信任整体架构需要结合企业现有的基础设施与安全防护能力进行集成设计。图4中的概念框架模型显示了组件及其相互作用的基本关系，这是显示逻辑组件及其相互作用的理想模型。

图4 NIST零信任概念逻辑架构

图片源自：NIST机构发布的《NIST零信任架构800-207正式版》

从上述组件可以看出，零信任架构中的众多组件并不是新的技术或产品，而是按照零信任理念形成的一个面向用户、设备和应用的端对端的安全解决方案。

零信任通用架构

图5 零信任通用参考架构

图片源自：《零信任实战白皮书》

基于SDP架构与NIST提出的零信任架构，可以抽向出零信任通用架构。如图5所示，零信任安全控制中心组件作为SDP的控制器（Controller）和NIST的策略决策点（PolicyDecision Point）的抽象，零信任安全代理组件作为SDP的接收主机（Accepting Host）和NIST的策略执行点（PolicyEnforcement Point）的抽象。

零信任安全控制中心核心是实现对访问请求的授权决策，以及为决策而开展的身份认证（或中继到已有认证服务）、安全监测、信任评估、策略管理、设备安全管理等功能；零信任安全代理的核心是实现对访问控制决策的执行，以及对访问主体的安全信息采集，对访问请求的转发、拦截等功能。

基于零信任架构的安全解决方案不仅在企业网络边界上对外部的所有攻击进行了有效的防护，还对企业人员、设备、业务应用、数据资产之间的所有访问请求进行细粒度的访问控制，并且访问控制策略需要基于对请求上下文的信任评估进行动态调整，是一种应对新型IT环境下已知和未知威胁的“内生安全”机制，具有更好的弹性和自适应性。

01、设计思路

方案设计基于SDP技术框架，以用户身份管理（IAM）为中心，以业务/数据防护为目标，通过持续认证、动态授权、全面审计等手段，实现业务安全访问。

图6 零信任安全技术体系

02、总体架构设计

零信任系统设计以“先认证后连接”、“身份为中心”的基本原则，利用上下文访问智能分析、动态访问权限控制、私有DNS解析、单包授权双向认证等核心技术，实现访问细粒度权限控制、单次访问动态评级授权、业务安全发布、用户行为全流程可视审计，从而构建端到端的安全访问新模式。

图7 零信任安全架构

系统由客户端、控制器、安全网关三个部分构成：

在NIST的零信任白皮书中提到了零信任的八大应用场景，但总结起来主要是客户端到服务端、服务端到服务端两大类型的业务访问模式，结合公司在电力、能源、政务等行业的业务访问特点列举了几种典型应用场景。

1、远程办公

传统电力服务通过“网上国网”、能源电商、电动汽车等新型电力服务平台逐步开放资源服务到互联网侧，满足互联网侧终端访问用户包括移动办公员工、供应商、合作伙伴、大众用户等的需求，如需要随时随地访问业务系统的不同业务模块与应用接口。

为了防范互联网侧暴露的业务端口遭受外部的扫描与渗透攻击，可以对访问者的身份及设备进行可信验证及授权，有效规避供应链攻击、“薅羊毛”等威胁。

如图8所示，传统远程防护模式在互联网边界外部定义为不可信区域，在边界内部定义为可信区域，通过边界防火墙映射端口开放互联网服务，内部业务系统容易遭受外网DDods、Nday系统漏洞的扫描渗透，使防护处于失效状态。

图8 传统边界防护架构

如图9如示，通过串联或旁路的方式部署零信任接入平台，可实现业务端口隐藏、终端可信接入、链路加密传输、应用权限细粒度管控及终端访问风险动态评估等安全防护能力。

传输VPN设备主要功能是解决互联网终端接入公司内部网络的问题，当VPN出现0day漏洞时，很容易被黑客控制，外部防护形同虚设，此时，若采用零信任架构模式（可替代传统VPN），采用先认证后连接的机制，黑客无法扫描到暴露出的漏洞，大大的提升了外网防护及应急处置能力。

图9 基于零信任架构的远程访问架构

2、内网访问改造

企业业务内部区域网络是一个封闭的网络，在传统防护模式下，信息化建设者认为内部是相对安全的，因此，接入内部用户终端在访问业务时就默认是信任的。为防止数据外泄，企业部署了防火墙、入侵检测、防病毒、漏洞扫描、网络隔离设备及APT检测平台等一系列网络安全产品，但这些防护系统只是解决了外部的渗透攻击。

某机构调查数据显示，超过85%的网络安全威胁来自于内部，对内部人的信任所造成的危害程度，远远超过黑客攻击和病毒造成的损失。

某省级电网企业的运营部门已经建设超过二十个重要的信息系统，信息系统均部署于管理信息大区（电力信息内网），客户在业务运营过程中存在以下业务痛点：

图10 内网访问改造

如图10所示，通过设计构建安全控制中心及可信应用服务接口，针对传统业务HTTP明文传输、不安全加密算法、老旧系统漏洞及新型未知漏洞等安全风险进行加固改造，强化用户端可信认证访问，建立业务全方位可信认证及动态授权机制，实现终端用户可信安全访问，安全策略控制，资源管控等，提升业务人员安全运维及应急处置能力，从而有效防范已知及未知系统漏洞带来的攻击风险。

3、移动作业

图11 移动作业零信任接入架构

如图11所示，基于互联网链路、3/4/5G、无线基站、WIFI等方式实现外网移动终端的接入，采用集群方式部署零信任安全接入平台相关组件，实现移动作业应用可信身份认证、动态访问控制、数据加密传输、终端风险感知、用户异常行为监测与阻断能力。

图12 移动作业零信任安全接入初始化过程

4、云资源访问

零信任服务端与服务端之间的技术实现方式主要是采用微隔离技术，实现云上东西向安全防护，解决云环境下服务端与服务端之间的安全访问。

图13 云资源安全访问

如图13所示，通过在公有云、私有云、数据中心搭建零信任安全控制平台，安全控制中心配置安全访问控制策略，安全网关配置服务端API调用接口，然后将访问控制策略下发到应用网关，云上服务端与服务端之间通过应用网关授权的API接口进行调用，服务端之间的访问流量根据业务行为策略进行动态检测，当发现有异常流量时，立即触发控制中心告警，或超出告警阀值时触发应用网关直接关停服务端API调用接口，防范服务器之间的恶意攻击。

另外，当进行多云管控时，可以设置一级控制中心与二级控制中心，一级控制中心便于云平台管理员对多云安全策略统一配置与下发管控，依托控制中心安全态势感知平台，可全方位监测东西向业务访问流量安全状态。

零信任如何破除传统安全防护困局(问一问：如何做好自身安全防护有哪些）

零信任如何破除传统安全防护困局

相关问答：零信任是一个怎样的理念？

相关问答：什么是零信任？又该如何构建零信任？

相关文章

为您推荐

湖北陶瓷基地(问一问：湖北亚细亚陶瓷有限公司好吧）

潍坊取消民办学校(问一问：潍坊教育最新通知真的吗）

收藏民国有五元的银币吗知乎(问一问：收藏民国有五元的银币吗如何呢）

海珠区南洲名苑房价(问一问：海珠南洲最新消息真的吗）

中航MyTOWNPK约克郡上景谁是重庆最热门小区(问一问：中航MyTOWNPK约克郡上景谁是重庆最热门小区好吧）

齐家网(问一问：齐家有哪些）

最新文章

精品文章

热门推荐

大家都在看