网络安全的新基石,从“零信任”开始
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
2020年注定要和一个词紧紧联系在一起,那就是安全。
新冠疫情全球蔓延,几乎让所有人都开始谨慎地减少外出,与他人保持社交距离。与之对应的是,人们有了更多的时间花费在电子设备和网络世界当中。
相比较于病毒肆虐所造成的人身健康的威胁,网络世界的安全威胁则显得更难以察觉。但随着企业和个人越来越多地将自身最重要的数据资产存放在网络端和云端,网络安全的威胁也正在变得棘手和严重起来。
2月底,SaaS服务商微盟的业务数据遭到内部员工故意删库,导致300万个平台商家的小程序全部宕机,众多商家损失惨重,同时微盟市值大幅缩水。这一事件被业内视为企业数据安全的拐点性事件。
4月初,受疫情影响而出现用户量暴增的远程视频软件Zoom,却被曝出重大安全漏洞,引发股东集体诉讼。漏屋偏逢连夜雨,最近Zoom又被曝出53万条用户网络凭证挂在暗网低价出售。尽管Zoom数据泄露原因被指向是黑客的撞库攻击,但由于Zoom这一视频会议软件会涉及会议内容、摄像头、远程桌面等隐私问题,此次数据泄露再次引发媒体和众多企业组织的抵制和禁用。
结合之前众多国内企业在用户数据安全、隐私保护上的暴露出的种种问题,我们会发现网络安全仍然是企业在产品开发和运营当中的一大短板。
而现在,远程协同办公的兴起也让企业内网正在面临着新的安全威胁,由传统的VPN和防火墙构成的网络安全架构,已经难以满足企业员工的大量外网的接入需要。
一种早在10年前就提出,一直在蓄势发展的“零信任安全”,成为当下可供企业网络安全选择的新架构。
不信任,才是迈向最佳安全性的第一步?
关于信任的一场安全危机,最早可能就来自于古希腊神话中的“特洛伊木马”。希腊人制定的木马计划,骗取了特洛伊人的信任。木马被他们自己迎接进了特洛伊城,而希腊人则从内部将其攻破。这一经典战术启发了互联网时代最猖狂的网络攻击,通过在正常的程序中植入木马程序,就可以实现对被感染计算机的远程控制。
对现在很多企业的数据中心,传统意义上的网络安全就是通过一系列防火墙或者杀毒软件的手段来防御这些外部威胁。但是如果是具有正当凭证以及权限的用户进入系统,这些外围防御系统就会自动放过,而系统内部则隐含着对他们的信任关系,也就很难阻止这些用户的不良行为。
一种是用户账户被盗取后的黑客侵害行为;一种是用户本人的侵害行为,就如微盟内部员工的“删库”,而这样的内部损害也可能更为严重。
真正能够做到系统内部的数据保护,目前最可行的一种方式就是零信任网络访问的模式。这一安全架构将改变企业数据保护的现有规则。
所谓零信任网络访问(Zero-Trust Network Access,简称“ZTNA)”),是在2010年由研究机构Forrester副总裁兼首席分析师约翰·金德瓦格(John Kindervag)提出。意思是:不能信任出入网络的任何内容。应通过强身份验证技术保护数据,创建一种以数据为中心的全新边界。简单说就是“从不信任,总是验证”。
为什么企业需要进行零信任网络访问呢?
首先是全球经济因为网络安全问题导致的损失在逐年增加,预计到2021年因网络网络犯罪所致全球经济损失总额将达6万亿美元。而世界上重大的数据泄露事件都是由于黑客攻破企业防火墙之后,在内部网络拥有全部访问权限而畅通无阻造成的。
尽管企业的信息网络安全的支出每年都在增加,但是传统的安全方法难以应对日趋严峻的安全威胁态势,转变旧的安全边界的防护思维和方法成为破题之策。
另外,最重要的一个变化就是企业的安全边界正在模糊。受到企业数字化转型和云计算业务增长的影响,以防火墙和VPN为代表的传统安全技术构建的企业边界正在被云业务的场景模式给瓦解。众多的外部访问扩大了向企业内部渗透的攻击威胁。
这样“内部等于可信任”和“外部等于不可信任”的传统网络安全观念就需要打破,而零信任网络访问的“验证才信任”的优势也就突显出来了。
如何实现零信任网络安全?
零信任网络访问,需要企业根据用户、所处位置和其他数据等条件,建立微隔离和细粒度边界规则,来确定是否可以信任向企业特定范围访问权限发起请求的用户、主机或者是应用。实现零信任网络访问,要做到:第一,要确认用户身份,通过交叉验证确保是用户本人的登录操作。
第二,要保证用户所用终端是否安全;第三,建立条件限制策略,明确访问权限。第四、访问控制需要符合最小权限原则进行细粒度授权,基于尽量多的属性进行信任和风险度量,实现动态自适应访问控制。
零信任网络访问需要依靠多因子身份认证、身份与访问管理、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。
众多企业的IT部门已经在其网络环境中部署了多因子身份验证、身份与访问管理和权限管理通,常会采取软件定义边界(SDP)和微隔离技术,来有效阻隔服务器或者网段之间的访问权限。
软件定义边界凭借更细粒度的控制、更灵活的扩展、更高的可靠性,正在改变传统的远程连接方式。而网络微隔离是在传统的区域架构下,进一步细分区域内的网络以增强安全性。微隔离常用于数据中心网络中,以细分区域内的应用程序,可以实现对工作流级别的细粒度隔离和可视化管理,正在成为虚拟化环境下网络隔离优选方案。
当然,建立零信任安全环境,不仅仅是实现这一单点技术,而是要在这些技术的应用中始终贯彻“无验证即不信任”的理念。
零信任作为一种全新的安全理念,应该成为企业决策者未来坚持推行的举措。据旧金山计算机安全研究所的统计,60%到80%的网络滥用事件来自内部网络,对内部人的信任所造成的危害程度,远远超过黑客攻击和病毒造成的损失。企业需要调整思维方式,让零信任理念也成为管理者和员工自觉遵守的行为准则。
实际上,零信任架构更适合于企业在向云端迁移的环境中搭建。而那些有着复杂IT环境和大量旧系统的大型企业,需要把零信任架构迁移看做是多阶段、长时间的一项整体工程来对待。零信任架构作为企业整体数字转型战略的一部分,实现那些有助于在云迁移过程中达成零信任的技术,然后淘汰掉那些老旧的遗留系统。
也就是先有整体设计,再采取相应技术。
零信任网络安全的应用实践
2018年,Gartner 提出零信任是进行持续自适应的风险和信任评估(CARTA)的第一步。零信任要按照需要对不同身份(设备、用户和网络流量)授予区别化和最小化的访问权限,并通过持续认证改变“通过认证即被信任”的防护模式。
国内外企业基于对零信任安全框架的理解,开展了技术探索和布局。
在软件定义边界上,谷歌的Beyond Corp基于设备、用户、动态访问控制和行为感知策略实现其零信任构想,所有流量通过统一的访问代理来实现认证和授权,实时更新信息库中的用户、设备、状态、历史用户行为可信度等相关信息,利用动态的多轮打分机制对请求来源进行信任层级划分,从而进一步实现层级内的最小权限控制。
笔者这里就有一个比较惨痛的教训。我一直在尝试找回一个十多年前注册的Gmail账户,但因为使用的手机号码已经注销,因此通过其他任何方式验证,我也始终无法再找回该账户。这可能也意味着谷歌的零信任验证实在是过于谨慎了。
此外,像思科、Verizon以及国内的云深互联等企业都推出了基于零信任的SDP服务方案。
在微隔离技术上,网络安全初创企业Illumio的自适应安全平台以微隔离技术为基础,在分隔策略配置方面,应用人工智能学习网络流量模式,提供多种便捷配置模式和可视化展示。国内的蔷薇灵动、山石网科等企业也在微隔离、可视化安全解决方案上进行积极探索。
根据Gartner在《零信任网络访问市场指南》做出的战略规划假设,到2022年,80%向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入;到2023年,将有60%的企业将淘汰大部分的VPN,而使用零信任网络访问。
当前,在我国企业数字化转型和业务上云等趋势的推动下,业务模式转换和迁移上云将为零信任网络安全提供实践的平台,进而可以充分利用内部业务、数据、设备等信息,形成持续、动态和细粒度的零信任安全防护方案。
同时对于传统的安全厂商而言,积极推动全新的网络安全技术和安全理念的变革,将零信任理念与传统身份管理与访问控制等技术融合,发挥传统安全厂商在身份管理领域的深耕优势,推动零信任理念与传统技术的深度融合,这样基于零信任的动态身份管理和访问权限控制解决方案才有望加速落地。
正如前面微盟、Zoom案例所体现的,如果企业在网络安全上没有给予足够的重视,在网络安全意识和理念上仍然沿用传统的技术思路,就会因为一次的失误而引发极为严重的安全危机和巨大的经营风险。
在事关企业的生存与发展大事面前,将网络安全当作企业的生命线也不为过,而推动零信任模式的网络安全体系升级也就必须提上众多企业的议事日程了。
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
原文发布时间:2020-04-26
本文作者:海怪
本文来自:“36kr”,了解相关信息可以关注“36kr”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
当 RocketMQ 遇上 Serverless,会碰撞出怎样的火花?
作者 | 元毅 阿里巴巴高级开发工程师 阿里巴巴云原生公众号后台回复Knative,免费下载《Knative 云原生应用开发指南》电子书! 想必大家都比较了解 RocketMQ 消息服务,那么 RocketMQ 与 Serverless 结合会碰撞出怎样的火花呢?我们今天介绍一下如何基于 RocketMQ + Knative 驱动云原生 Serverless 应用 。本文主要从以下几个方面展开介绍: 云原生与 Serverless Knative 简介 RocketMQSource 餐饮配送场景示例 云原生 先看一下 CNCF 对云原生的定义: 云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式 API。 这些技术能够构建容错性好、易于管理
- 下一篇
8 个 DevOps 自动化工具,帮你做出持续改进
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! DevOps,这个词似乎是过去几年的一个流行语,是 IT 招聘人员、软件公司和代理机构在互联网上搜索得最多的一个词。专业的支持者认为这与工具或自动化无关,但他们忽略了一点,即工具实际上承载了 DevOps 文化。我们都认同这样的说法,即 DevOps 不只与工具有关,甚至不只与一个单独的角色有关,DevOps 实际上是人、过程和工具的结合体。但是,一个组织想要实施 DevOps,工具在其中扮演了重要的角色。 在这篇文章里,我们将介绍 8 个 DevOps 自动化工具,每一家公司都需要依靠它们来获得持续改进。 KubernetesKubernetes,容器编配平台事实上的标准。它是一个非常流行的开源平台,诞生于谷歌,谷歌于 2014 年将其开源。Kubernetes 用来管理由多个自包含运行时(也就是容器)组成的应用程序。容器近来正在取代虚拟机成为发布应用程序的标准模型。 Kubernetes 集群有一个主节点和多个工作节点,每个工作节点可以处理多个 Pod。Pod 是由多个容器组成的工作...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- CentOS8编译安装MySQL8.0.19
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker安装Oracle12C,快速搭建Oracle学习环境