写点什么

零信任落地的现实困境

  • 2021-07-20
  • 本文字数:1713 字

    阅读完需:约 6 分钟

零信任落地的现实困境

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。


零信任是一种安全体系架构,它打破了传统的认证即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。

零信任安全体系建设的愿景


1、依托IAM技术、终端环境感知技术,重构企业身份体系和身份策略,推动网络人员身份的可信任;


2、改变传统的认证方式,构建先认证后连接和持续认证机制,提升网络的防护能力;


3、结合终端、EDR、业务行为、网络态势等因素,建立持续信任评估机制和模型,支撑动态自适应访问控制权限管理,保护业务和数据的安全性;


4、支撑远程办公、大数据中心、云安全平台等多种场景的安全防护。


然而,零信任安全体系的落地之旅,不仅仅是简单的产品部署,它是一项复杂的工程,涉及组织管理、技术、成本等多项因素,在实际落地过程中存在着技术层面、管理层面、投入与落地周期等困境。

技术层面困境

身份管理


零信任的基础是以身份为中心,需要以 IAM 为基础建立用户业务系统身份管理机制。部分用户的身份管理基础薄弱,各业务系统独立的身份系统,分散在系统中的身份数据异构体难以形成统一管理,使得零信任在企业身份管理部署期间,需要优先考虑 IAM 建设,逐步形成多因素的身份管理策略。

权限管理


基于角色的授权 RBAC 是当前企业业务系统主要的授权模型,权限管理分散,零信任采用 ABAC 授权模型,需要对当前用户权限进行整合改造,改造调整涉及众多的业务系统,难度比较大。


动态授权和持续信任是零信任的核心之一,需要在权限统一管理基础上建立持续信任评估机制,而参与信任评估的因素的多少决定信任评估结果的准确率,信任评估模型作为零信任的核心,需要根据不同网络构建不同的评估模型,准确精准度要求高,当前持续信任缺乏统一的落地。目前缺乏统一的信任评估机制标准体系指标,动态授权落地难。

产品、体系融合


零信任是一个安全体系,涉及终端环境感知、IAM、EDR、UEBA 等多种安全产品,在用户实际环境中可能用户已经具备态势感知、终端环境感知等相关的安全产品,零信任系统需要同这些系统进行对接融合,融合难度大。


等保 2.0 中明确系统安全保护环境是区分安全区域边界的,与零信任的不再以一个清晰的边界来划分信任的观点是存在矛盾点的


但零信任的本质概念上,除了不再区分清晰的边界,其实还有另一个层面,就是信任网络或是信任访问的概念,所以零信任在我国企业网络环境中的落地,存在基于等保防护思路和零信任技术体系的融合。

管理层面困境


零信任致力于打造一个安全可信任的网络环境,会很大程度上改变用户现在已有的网络访问方式,从推广力度上存在一定的难度。


作为一种新的技术体系,传统的管理要求、管理制度已经不适用于新的技术配套要求,需要对现有的管理要求、管理制度、管理组织进行调整,驱动零信任体系建设、维护工作。

投入和落地周期困境


零信任在 Google Beyond Corp 实施落地用了 7 年时间,落地周期长,成本消耗高。


零信任本身属于一个安全建设体系,不是一个产品或是一个平台,涉及 IAM、终端管理、EDR、态势感知、行为分析等多种技术手段,投资高,建设周期长。


所以,零信任建设需要根据不同企业梳理现有的网络环境以及零信任建设程度,分步融合现有环境逐步实施。


完整的零信任是一个理想的愿景,用户在构建零信任网络之前,首先需要确定实现范围,成熟度较高的零信任网络包含许多交互的子系统。


最开始构建零信任网络时,不需要满足全部需求,而应当在实现过程中逐步完善,部分用户应避免陷入到“最初构建零信任体系对现有安全体系的改变很小,而误认为只需用极小的成本,极少的调整便可一劳永逸地实现零信任安全架构,从而摒弃对零信任架构持续建设和完善”的误区。


延伸阅读:


零信任不是“银弹”》


读懂零信任:起源、发展与架构


浅析零信任技术在国内外的不同发展路线

2021-07-20 17:013112

评论

发布
暂无评论
发现更多内容

无聊科技正经事周刊(第6期):纯粹的程序员与必然的中年危机

潘大壮

程序员 周刊 行业趋势 科技周刊

Spring Authorization Server 实现授权中心

Zhang

Java OAuth 2.1 Spring Security OAuth

英特尔以四大超级技术力量,助力数字未来,发布多项进展

科技新消息

英特尔公布数据中心和人工智能领域重大进展,全方位展示强劲领导力

科技新消息

「码」力集结!他们用作品为FinClip黑客松打造出一道靓丽的风景线

Speedoooo

小程序 hackathon 黑客马拉松 黑客松 小程序容器

windows服务器是什么?运维管理用什么工具好?

行云管家

windows 服务器 自动化运维 服务器运维

有趣、实用、全面,是程序员心中理想人工智能教材的样子了

图灵教育

深度学习 PyTorch

FinClip+微幕小程序,助力企业全端公私域流量互通

Speedoooo

小程序 WordPress 移动开发 小程序容器

硬件为矛 软件为盾 英特尔分享数据中心GPU的攻守之道

科技新消息

拿起手中的键盘做公益侠客,让你的第一个低代码应用为公益发光发热!

InfoQ写作社区官方

低代码 公益 大学生 热门活动 码上公益

Hugging Face创始人亲述:一个GitHub史上增长最快的AI项目

OneFlow

人工智能 深度学习 nlp 开源社区

揭秘英特尔未来IPU路线图,开启数据中心“进化之旅”

科技新消息

企业文档爆炸,如何管?

小炮

企业文档管理工具

Spring Security

Zhang

Java spring security

墨天轮访谈 | OceanBase 白超:海量数据管理,为什么选择OceanBase?

墨天轮

数据库 oceanbase 国产数据库

echarts饼图指示器文字颜色设置不同

空城机

eCharts 5月月更

直播预告 | PolarDB-X 动手实践系列——PolarDB-X Replica原理和使用

阿里云数据库开源

数据库 阿里云 开源 PolarDB-X

如何清除 WordPress 中的缓存

海拥(haiyong.site)

WordPress 5月月更

netty系列之:我有一个可扩展的Enum你要不要看一下?

程序那些事

Java Netty 程序那些事 5月月更

如何开发 LAXCUS 分布式应用软件(三):编写终端软件

LAXCUS分布式操作系统

集群架构 并行计算 端边云 分布式操作系统 分布式应用软件

Go1.18泛型浅谈

CodeWithBuff

golang 泛型 新特性 Go 语言

数据标准在网易的实践

网易数帆

大数据 数据仓库 数据治理 元数据 数据标准

Apache DolphinScheduler 2.X保姆级源码解析,中国移动工程师揭秘服务调度启动全流程

白鲸开源

Apache 大数据 开源 DolphinScheduler workflow

AIRIOT物联网低代码平台如何配置MQTT驱动?

AIRIOT

物联网 低代码平台 驱动配置

ansible template jinja2 渲染

ghostwritten

ansible

容器化 | 构建 RadonDB MySQL 集群监控平台

RadonDB

MySQL 数据库 容器化 RadonDB KubeSphere

等保三级全称是什么?是什么意思?

行云管家

网络安全 等级保护 等保三级 等保2.0

蝉联第一!金蝶夺取Gartner中国高生产力aPaaS市场冠军!

金蝶云·苍穹

GPU分类和应用现状分析

Finovy Cloud

人工智能 云计算 gpu GPU服务器

基于 FFI 的 PyFlink 下一代 Python 运行时介绍

Apache Flink

大数据 flink 编程 流计算 实时计算

美哭了,一款开发者必备的接口管理工具!

Liam

Postman 开发工具 API API接口管理 接口管理工具

零信任落地的现实困境_安全_启明星辰_InfoQ精选文章