从零信任技术角度探索数据安全的新思路.docx
《从零信任技术角度探索数据安全的新思路.docx》由会员分享,可在线阅读,更多相关《从零信任技术角度探索数据安全的新思路.docx(11页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、从零信任技术角度探索数据平安的新思路目录刖1.零信任平安模型11 . OMB发布M-22-09号备忘录美国政府向零信任网络平安原那么迈进22. 1.愿景22. 2.零信任推进策略与规范图谱32. 3.零信任架构推进路线及具体要求52. 3. 1.身份62. 3. 2.设备62. 3. 3.网络72. 3. 4.应用和工作负载72. 3. 5.数据8.零信任技术架构与数据平安93 .总结10刖S现有的所有身份与授权管理技术,如单点登录、多因素认证以及网络流量 监测、数据分级分类等,都可以被应用于实际的零信任架构体系中,而这些都 为数据平安拓展了新的思路。为应对网络边界日益模糊、远程访问增多、内部
2、威胁增多等网络平安问 题,全球权威分析机构Forrester Research的分析师John Kindervag在2010 年正式提出零信任一词。随着云计算、移动互联等技术开展,零信任越来越为 产业界所接受。1 .零信任平安模型原那么是“从不信任,始终验证”。因此,它具有如下基本假设:(1)平安与网络位置无关:不管流量是来自于内网还是外网,网络都不会使 用网络位置来作为判断平安与否的标准;(2)最小特权访问:进行严格的访问控制,只让用户访问他们确实需要访问的资源,防止横向移动;第1页共11页网络基础设施组件等。核心组件主要包括策略引擎、策略管理和策略执行点。策略引擎计算信任 评分/置信度级别
3、,并做出最终访问决策,授予、拒绝或撤销对特定主体的资 源访问。策略管理负责建立或废止主体和资源之间的策略,它与策略引擎紧密 关联,并依赖于策略引擎决定最终允许或拒绝访问请求。策略实施点负责启 用、监视和终止主体与企业资源之间的连接。功能组件为策略引擎提供平安能力支撑,可以包括但不限于身份和访问管 理组件、终端平安组件、数据平安组件、平安分析组件等。身份和访问管理 (IAM)组件包括创立、存储和管理用户帐户和身份记录,及其对企业资源的访 问策略、技术和治理手段。终端平安组件保护终端(如服务器、桌面、移动电 话、物联网设备)免受威胁和攻击,并保护企业免受托管和非托管设备的威 胁。数据平安组件包括企
4、业为保护其信息而开发的所有数据访问策略和规那么, 以及保护静止和传输中的数据的方法。平安分析组件包含IT企业的所有威胁 情报摘要和流量/活动监视,收集有关企业资产当前状态的平安和行为分析, 并持续监控这些资产,以积极响应威胁或恶意活动,这些信息可以提供给策略 引擎,以帮助制定动态访问决策。这四项功能组件对应着零信任推进路线中的 身份领域、设备领域、数据领域、网络领域及应用和工作负载领域的具体实施 技术模块,同时也与零信任成熟度模型保持一致。这些组件共同协作,集成应 用至零信任架构中,以实现零信任的原那么与愿景。设备和网络基础设施组件主要实现零信任推进路线中网络领域的技术与能 力要求,其中资产包
5、括连接企业的设备/端点,如笔记本电脑、平板电脑、其 他移动设备、物联网设备和自带设备。企业资源包括数据和计算资源,以及在 本地、云、边缘或这些组合中托管和管理的应用/服务。网络基础设施组件包 含中型或大型机构通常可能在其环境中部署的网络资源。零信任架构的核心组 件和功能组件应通过设备和网络基础设施连接或集成到开放的网络环境中。从零信任技术架构出发,从中可以看出,其所关注的动态访问决策与如今 数据在使用、流动中的平安需求契合度较高,数据平安往往是一种动态的安 全,其平安策略如果一成不变,那很难让数据能够真正发挥其价值。4.总结第10页共11页零信任平安针对传统边界平安架构思想进行了重新评估和审视
6、,以“持续 信任评估,动态访问控制”为核心原那么。当前,多种平安技术正逐步向零信任 架构靠拢,例如基于“软件定义边界(SDP)”、“身份与访问管理(IAM)”和“微隔离”等:1)SDP技术是用于实现用户访问服务器过程的访问平安,保证“南北向” 平安;2)微隔离技术解决服务器之间的权限漂移问题,保证“东西向”平安;3)IAM技术那么将主客体身份进行统一集成管理,以身份深入标识全流量, 并基于身份进行访问行为的链条化整合,是实施零信任架构可视化分析、自动 化编排和治理的基础与手段。随着布局零信任架构的企业、机构增多,将会有更多的技术方案在实践中 不断协同推进,零信任解决方案将不断完善,这就为网络平
7、安和数据平安的创 新开展增添了更多的可能性。第11页共11页(3)动态访问控制:对用户的访问控制是动态的,即会实时地根据用户的行 为、设备情况、所安装的证书等多种情况综合考虑,动态地决定用户此时的权 限;(4)检查和记录所有访问的网络流量。零信任架构不是单一的技术,而是构建平安环境的一系列原那么,保证资源 访问控制平安的一系列技术措施。现有的所有身份与授权管理技术,如单点登 录、多因素认证以及网络流量监测、数据分级分类等,都可以被应用于实际的 零信任架构体系中,而这些都为数据平安拓展了新的思路。2. OMB发布M-22-09号备忘录美国政府向零信任网络平安原那么迈进2. 1.愿景基于当前的网络
8、威胁环境,美国政府管理预算局(OBM)于2022年1月发 布M-22-09号备忘录美国政府向零信任网络平安原那么迈进。该备忘录说明 美国正在进行大胆的改革和投资,不再依靠传统的基于边界的防御来保护关键 系统和数据。拟建立基于零信任架构的政府部门信息系统,用以维护基础设 施、网络和数据的平安。最终达成的政府部门信息系统能到达以下愿景:联邦工作人员拥有企业管理的帐户,允许他们访问他们工作所需的一 切,同时还能可靠地保护他们免受一般的和有针对性的、复杂的网络钓鱼攻 击。联邦工作人员用于工作的设备被持续跟踪和监控,在授予内部资源访问 权时,这些设备的平安状态被考虑在内。各政府机构信息系统之间彼此隔离,
9、并且各系统之间和系统内部的网络 流量都是可靠加密的。企业应用程序可以在内部和外部进行测试,并且可以通过互联网平安地 提供给员工使用。国家平安团队和数据团队共同开发数据类别和平安规那么,以自动检测并 最终阻止对敏感信息的未经授权的访问。该备忘录要求各机构在2024财年结束前实现特定的零信任平安目标。建第2页共11页立新的访问控制基线:整合身份系统,防范钓鱼攻击实现持续保护及监控;利用数据的智能决策加强访问控制方法。这些目标使用网络平安和基础设 施平安局(CISA)开发的零信任成熟度模型进行组织。CISA的零信任模型描述了 五个互补的工作领域/支柱:身份、设备、网络、应用程序和工作负载、数 据,以
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信任 技术 角度 探索 数据 安全 新思路
限制150内