QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

零信任落地的现实困境

  • 2021-07-20
  • 本文字数:1713 字

    阅读完需:约 6 分钟

零信任落地的现实困境

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。


零信任是一种安全体系架构,它打破了传统的认证即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。

零信任安全体系建设的愿景


1、依托IAM技术、终端环境感知技术,重构企业身份体系和身份策略,推动网络人员身份的可信任;


2、改变传统的认证方式,构建先认证后连接和持续认证机制,提升网络的防护能力;


3、结合终端、EDR、业务行为、网络态势等因素,建立持续信任评估机制和模型,支撑动态自适应访问控制权限管理,保护业务和数据的安全性;


4、支撑远程办公、大数据中心、云安全平台等多种场景的安全防护。


然而,零信任安全体系的落地之旅,不仅仅是简单的产品部署,它是一项复杂的工程,涉及组织管理、技术、成本等多项因素,在实际落地过程中存在着技术层面、管理层面、投入与落地周期等困境。

技术层面困境

身份管理


零信任的基础是以身份为中心,需要以 IAM 为基础建立用户业务系统身份管理机制。部分用户的身份管理基础薄弱,各业务系统独立的身份系统,分散在系统中的身份数据异构体难以形成统一管理,使得零信任在企业身份管理部署期间,需要优先考虑 IAM 建设,逐步形成多因素的身份管理策略。

权限管理


基于角色的授权 RBAC 是当前企业业务系统主要的授权模型,权限管理分散,零信任采用 ABAC 授权模型,需要对当前用户权限进行整合改造,改造调整涉及众多的业务系统,难度比较大。


动态授权和持续信任是零信任的核心之一,需要在权限统一管理基础上建立持续信任评估机制,而参与信任评估的因素的多少决定信任评估结果的准确率,信任评估模型作为零信任的核心,需要根据不同网络构建不同的评估模型,准确精准度要求高,当前持续信任缺乏统一的落地。目前缺乏统一的信任评估机制标准体系指标,动态授权落地难。

产品、体系融合


零信任是一个安全体系,涉及终端环境感知、IAM、EDR、UEBA 等多种安全产品,在用户实际环境中可能用户已经具备态势感知、终端环境感知等相关的安全产品,零信任系统需要同这些系统进行对接融合,融合难度大。


等保 2.0 中明确系统安全保护环境是区分安全区域边界的,与零信任的不再以一个清晰的边界来划分信任的观点是存在矛盾点的


但零信任的本质概念上,除了不再区分清晰的边界,其实还有另一个层面,就是信任网络或是信任访问的概念,所以零信任在我国企业网络环境中的落地,存在基于等保防护思路和零信任技术体系的融合。

管理层面困境


零信任致力于打造一个安全可信任的网络环境,会很大程度上改变用户现在已有的网络访问方式,从推广力度上存在一定的难度。


作为一种新的技术体系,传统的管理要求、管理制度已经不适用于新的技术配套要求,需要对现有的管理要求、管理制度、管理组织进行调整,驱动零信任体系建设、维护工作。

投入和落地周期困境


零信任在 Google Beyond Corp 实施落地用了 7 年时间,落地周期长,成本消耗高。


零信任本身属于一个安全建设体系,不是一个产品或是一个平台,涉及 IAM、终端管理、EDR、态势感知、行为分析等多种技术手段,投资高,建设周期长。


所以,零信任建设需要根据不同企业梳理现有的网络环境以及零信任建设程度,分步融合现有环境逐步实施。


完整的零信任是一个理想的愿景,用户在构建零信任网络之前,首先需要确定实现范围,成熟度较高的零信任网络包含许多交互的子系统。


最开始构建零信任网络时,不需要满足全部需求,而应当在实现过程中逐步完善,部分用户应避免陷入到“最初构建零信任体系对现有安全体系的改变很小,而误认为只需用极小的成本,极少的调整便可一劳永逸地实现零信任安全架构,从而摒弃对零信任架构持续建设和完善”的误区。


延伸阅读:


零信任不是“银弹”》


读懂零信任:起源、发展与架构


浅析零信任技术在国内外的不同发展路线

2021-07-20 17:013063

评论

发布
暂无评论
发现更多内容

一次JSF上线问题引发的MsgPack深入理解,保证对你有收获

京东科技开发者

测试 序列化 msgpack 核心压缩

泼辣修图2023官方网页版入口在哪里?

茶色酒

泼辣修图2023

高效管理,让工作事半功倍

石云升

极客时间 2月月更 技术领导力实战笔记

天翼云以10.2%份额位列中国公有云IaaS+PaaS市场第三

天翼云开发者社区

应用可靠性与性能不给力?HarmonyOS HiViewDFX了解一下

HarmonyOS开发者

HarmonyOS

「钞能力养成指北」前传:开年变富,开发者如何迈出第一步?

LigaAI

敏捷开发 新年计划 复式记账 图论 企业号 2 月 PK 榜

跨境SaaS企业“会议营销"实战:立足商机注定平庸,300分客户转不转“MQL"?

B Impact

疫情大环境下科技互联网公司开源节流降本增效

laofo

研发效能 降本增效 开源节流

基于SLO告警(Part 2):为什么使用MWMB方法

Grafana 爱好者

可观测性 Grafana Prometheus SRE SLO

架构杂谈——互联网系统架构演进

小小怪下士

Java 程序员 后端 架构设计

【FAQ】申请运动健康服务验证环节常见问题及解答

HarmonyOS SDK

HMS Core

利用 Addax 异构迁移数据到 Databend

Databend

用Apipost进行gRPC调试教程

不想敲代码

微服务 gRPC 接口调试

周鸿祎瞄准中小微客户提供免费SaaS,思路:50万企业×2万年费=100亿补贴

B Impact

用 NFTScan 的角度解析 Yuga labs NFT 项目系列

NFT Research

NFT BAYC

如何合并与拆分 Word 表格中的单元格

Geek_249eec

C# word VB.NET

TDengine 荣获 2022 金猿奖“大数据产业最具投资价值企业”“大数据产业创新技术突破”

TDengine

数据库 tdengine 时序数据库

Apipost如何自定义响应参数?

叶小柒

2023云原生安全值得关注的3个方向

HummerCloud

ebpf 云原生安全 SBOM

AI时代的信息技术部怎么改革?

FN0

小程序 超级app

时序电路建模基础

timerring

FPGA

Java高手速成 | JSP MVC模式项目案例

TiAmo

mvc java; jsp

数字先锋| 枣庄政务云全新升级,居民办事体验upup!

天翼云开发者社区

疫情时代的宠儿:抗生素行业,今后何去何从

前嗅大数据

大数据 数据分析 网络爬虫 抗生素

开发者变富攻略 | 如何使用开源工具,科学记账?

LigaAI

程序人生 敏捷开发 复式记账 企业号 2 月 PK 榜 Beancount

安全可信| 首批+先进!天翼全栈混合云一举斩获三项可信云评估

天翼云开发者社区

Flomesh Ingress 使用实践(二)TLS 进阶

Flomesh

HTTP ingress Pipy

共铸国云智领未来| 如心未来社区的“幸福密码”

天翼云开发者社区

Apipost全局参数和目录参数怎么用?

不想敲代码

接口文档 apipost API调试

如何理解DevOps?

老张

DevOps 软件工程

面试官:什么是双亲委派模型?

王磊

java面试

零信任落地的现实困境_安全_启明星辰_InfoQ精选文章