En 400-6655-581
5
返回列表
> 资源中心 > 文章>主题>零信任安全> 零信任的技术价值

零信任的技术价值

文章

2021-03-31浏览次数:298

从“存在即合理”的角度来讲,任何新事物的产生都有其存在的价值和意义,无非是时间的长短而已,而能够为大众所接受的不仅仅对目前有意义而且还对未来也有利的事物。

 

图片

 

零信任的概念出现的比较早,进入国内也就近几年的事,业界对这一直颇有争议:

第一种说法:零信任没有方法论,没有理论依据;

第二种说法:零信任到底是否就是没有信任;

第三种说法:有了零信任企业业务是否真的安全了?

 

第一种说法大部分来自搞研究的领域,就像加密算法及证书,有根才有分支,顺藤摸到根就是依据,这样才是安全的,没有依据的事物怎么来证明是安全的呢?实际上这是角度的问题,说方法论的大多从技术实现来讲的,而零信任只是个概念,是众多技术实现的组合,零信任的众多组件在采用的技术就可以通过加密算法和证书来实现;

第二种说法更多是来自字面上的理解,零信任并不是不信任,而是需要提供信任的凭据,之前设备是无条件信任,而现在零信任只是增加了条件而已;

第三种说的更多是安全方面的深度和广度问题,而零信任更多的是在一个点的深度上做到相对的安全,不可能覆盖企业所有的安全,主要解决了从终端到资源之间的访问和权限控制、网络的传输、攻击的隔离与防护方面存在的安全问题。

 

 

零信任的技术价值来自其各组件的实现,下面让我们来看看几个关键组件的技术是怎样实现的,它们各自存在的意义又有哪些。

 

 

软件定义边界(SDP)技术

 

SDP应该是零信任里最让人感兴趣的技术之一,原因来自VPN,我们知道VPN其实就是一个网关认证,认证通过后就一马平川,导致诟病比较多,认证成功后就像建立了一座桥,并不关心过桥的人来自哪,想去哪,想干嘛?网络身份是解决了,但这身份却不一定与业务相关,这就导致身份不统一,需要重复认证,如果业务中没有统一身份与认证系统,也就意味着有N个业务系统就需要提供N个重复认证,这还只是身份识别问题,其他的问题就更复杂了,而这又是业务安全中经常遇到的,解决的方式往往以类似打补丁的方式,并没有一个统一的编排和调度机制,各种解决方案自然就五颜六色了,安全性难以得到保障。

 

SDP技术并不是要完全取代VPN,从网络层来讲其实是VPN技术的进化,SDP中的网络层隧道加密技术完全可以采用VPN来完成,在此基础之上再实现微隧道建立,完成端对端的加密方式和流量的完全隔离,当然SDP在建立网络层加密隧道之前是需要完成设备与用户同时认证的,否则无法建立网络层加密隧道,这个就解决了你是谁,从哪里来的问题。对访问者的身份和终端环境做了全面的鉴定,这块对边缘的身份安全有着广泛的意义。

 

零信任架构是一组服务的集合,提供了一套完整的安全解决方案,把各个安全组件服务从点到面进行了覆盖,类似于手机中的苹果,各组件实现的技术并没有新颖的地方,但整合在一起却是令人耳目一新,所以说个体是否完美不重要,只要组合完美就可以了,在这点上,零信任技术得到完美诠释。

 

 

 动态细粒度授权技术

 

前面提到访问者是谁和来自哪的问题已被SDP解决,那么要去哪,想干嘛的问题就交给了零信任的动态细粒度授权组件来解决,这个组件的技术实现意义有两个,一个解决是授权的颗粒问题;二是解决授权的动态问题。我们知道一般的系统都是有认证系统的,通过身份识别后获得相应的访问权限,而这里的权限基本上事先配置好的,如果有变化则需要再次配置,无法做到动态化;另外,权限的颗粒度也是用组或角色与系统菜单或功能关联来完成,无法做到根据用户信息的不同而不同,如果再要求返回的信息都要做到根据每个用户拥有各自隐私数据,对于基于角色的颗粒度授权模式来说就非常复杂而难以维护。

 

零信任的技术解决方式是通过细粒度动态授权的实现来解决这些问题,动态授权里包含了策略和风险评估,策略是通过属性进行的决策服务,因此,属性是权限颗粒度的单元,而基于属性的授权模式很容易解决角色模式无法解决的问题,这是因为所有的信息都来自属性,只需要根据策略决策的结果是否允许即可,这个请求策略决策动作的过程也就是动态授权了。这样,业务的两个安全问题就得到了很好的解决。基于属性的决策与评估对以后边缘的访问安全有着参考意义。

 

 

微隔离技术

 

“城门失火,殃及池鱼”,为了解决这个问题,零信任进行了流量隔离,采用了网络微隔离技术,为了解决流量劫持和减少被侵入业务系统带来的横向影响,零信任的访问采用在网络加密隧道里实现端对端的加密技术,网络加密隧道可以容纳多个端对端的子隧道来保障各子隧道的独立性,避免出现流量劫持和网络的侵入,而网络加密隧道是虚拟的,可根据业务的请求实现动态化,这样不仅解决了被侵入业务系统的横向影响,也同时解决了业务系统的负载均衡问题。这个就是微隔离存在的意义,应对攻击建立了完整的防御体系。

 

以上是零信任里最关键的三个技术实现,也是零信任的三大服务组件。除此之外,零信任还包含其他许多组件,而其中的统一身份与认证则是基础组件,从边缘安全到网络安全,从访问授权到资源安全,零信任已有相应的技术实现方案,是一个从点到面的完整而全面的技术实现过程。

 

图片

从整体技术的实现来讲,尤其在边缘安全的保护与访问,网络安全与隔离,对未来的区块链中的节点安全、物联网的智能终端安全都有很好的借鉴意义。如果零信任技术的实现是基础,那么意味着后续更多更广泛的新技术可能即将到来,也许这才是它的技术价值所在。