当前位置:易读 > 人文社科 > 零信任安全:技术详解与应用实践_蔡东赟_AZW3_MOBI_EPUB_PDF_电子书(无页码)_蔡东赟
AL123AL123 人文社科 会员免费专区 文学

零信任安全:技术详解与应用实践_蔡东赟_AZW3_MOBI_EPUB_PDF_电子书(无页码)_蔡东赟

内容节选

第2章零信任的核心概念、解决方案及标准该报告为付费报告,见Forrester网站:https://www.forrester.com/report/No-More-Chewy-Centers-The-Zero-Trust-Model-Of-Information-Security/RES56682。该报告有一个不需要付费的公开版本,见Paloalto网站:https://media.paloaltonetworks.com/documents/Forrester-No-More-Chewy-Centers.pdf。 2010年,时任Forrester市场咨询公司分析师的约翰·金德维格领衔撰写了一份报告“No More Chewy Centers:Introducing The Zero Trust Model Of Information Security” 。该报告首次提出了“零信任”(Zero Trust)的概念。“体系结构”的英文为Architecture,在许多文献中也译为“架构”。本书参考《计算机科学技术名词》(第三版)、GB/T 5271《信息技术词汇》中“计算机体系结构”“软件体系结构”等规范用词的表述方式,统一表述为“安全体系结构”“零信任体系结构”等。 本章会探讨网络安全工程师常说的一组以“零信任”开头的热点概念以及它们之间的关系,包括零信任理念、零信任模型、零信任系统、零信任网络、零信任体系结构 等,并且提供有效的零信任解决方案和国内外主流的相关标准。 我们可以用一个生活中的例子来形象地表示传统的边界安全理念和零信任理念的大致区别。 传统的安全理念就像乡村环境中的生活。只要过了村口,村民就可以自由行动,每家每户都大门敞开,任何人都可以自由进出。这种方式缺乏严格的身份验证和授权机制以及实时的风险监测措施,容易受到内外部威胁的攻击和入侵。 以及实时的风险监测措施,容易受到内外部威胁的攻击和入侵。 而零信任理念就像居住在酒店里。房客需要办理入住手续(验证身份合法)后得到房卡,刷房卡才能进入电梯和房间,甚至有些房间需要房客进行多次身份验证,比如刷脸等,以确保只有授权过的人员才能进入。并且,在酒店的公共空间还有监控摄像头和巡逻保安等安保措施,以防止未经授权的人员进入或者进行破坏。每个人(房客、访客、安保人员、酒店前台、保洁人员等)所拥有的授权不同,在每个操作环节都需要进行安全校验,这样可以更好地保护酒店环境和房客的安全。同样,在零信任理念中,每个用户都需要进行身份验证和授权,并且网络流量需要进行实时的监测和分析,以确保网络安全。 2.1 零信任理念和相关概念 2.1.1 零信任理念 约翰·金德维格先生及其合作者们在报告中提出,传统的基于边界的网络安全体系结构存在缺陷,通常被认为“可信”的内部网络实际上充满了威胁,信任被滥用,导致“信任是安全的致命弱点”。基于这样的认知,他们在报告中提出了一个新的网络安全理念—Never Trust,Always Verify,即“从不信任,持续验证”。通过报告中引述的3个案例,我们可以更加深入地理解零信任这一概念的核心含义。 案例1:A国驱逐B国间谍2010 年的某一天,在A国的某国际机场,一群看似普通的人登上了飞往某地的飞机。然而,这些人并不是普通的旅行者,而是B国的间谍,他们被A国当局发现并驱逐出境。与众所周知的间谍形象不同,这些间谍并不引人注意,在大众看来非常普通。他们的身份包括旅行代理商、咨询顾问、报纸专栏作家以及不动产经纪人,其中一名间谍甚至曾在一家跨国软件公司担任测试员。他们的普通身份掩盖了他们为B国情报机构工作的真实身份。据A国司法部门透露,这些间谍在A国长期潜伏,竭力掩盖与B国情报机构的任何联系。这个案例给了信息安全专业人员一些重要的启示。 首先,这些被驱逐的间谍在A国潜伏多年而未被发现,类似于今天的黑客,黑客也会采取极端的措施来避免被检测和怀疑。他们非常有耐心,其安全违规行为并不大胆,而是采取“低调而缓慢”的行动。这意味着他们可能持续数周、数月甚至数年以在网络中搜集有价值的信息。 其次,这些间谍的目标是特定的组织和个人,他们也有明确的任务,即在A国的政策决策圈中建立关系,并将情报传送回B国情报机构。同样,当今的信息/网络安全攻击也不再是黑客肆意妄为的行为。黑客经常专注于特定的公司和组织,甚至只攻击某些存储着他们所需信息的系统,如存储着用户个人信息、财务/金融数据或知识产权数据的系统。 案例2:网络罪犯C 网络罪犯C于1999年和2000年在某家公司的服务部门工作。该公司为多家征信机构提供软件。C拥有访问所有客户端密码和订阅代码的权限,因为他为该软件提供技术支持。在C工作期间,某犯罪集团的成员联系了C,对C支付报酬以使其为他们提供客户的信用报告。显然,这是违法的。 在......

  1. 信息
  2. 前言
  3. 特别鸣谢
  4. 第1章 企业安全面临的新挑战
  5. 第2章 零信任的核心概念、解决方案及标准
  6. 第3章 零信任体系结构
  7. 第4章 用户访问服务场景及技术方案
  8. 第5章 服务访问服务场景及技术方案
  9. 第6章 零信任体系规划和建设指引
  10. 第7章 核心行业的零信任应用实战
  11. 后记

分享到:

相关推荐