菜单
技术

零信任架构

Oct 2020
试验?

企业中计算和数据的结构不断变化:从单一应用程序到微服务;从集中式数据湖到数据网格;从本地托管到聚合云。与此同时,随着连接设备的激增,保护企业资产的方法在很大程度上仍保持不变。凭借对网络外围的高度依赖和信任——通过加强企业虚拟墙,使用专用链路和防火墙配置,以及替换不再适用于当今现实的静态和繁琐的安全过程的方法,企业继续进行大量投资,以保护其资产。这种持续的趋势迫使我们再次强调“零信任架构”。

零信任架构是安全体系结构及策略的一种模式转变。它基于这样的假设:网络边界不再代表安全边界,不应仅基于物理或网络位置授予用户或服务隐式信任。用于实现零信任架构各个方面的资源,工具以及平台的数量持续增长,其中包括:以最小特权为基础,执行安全策略即代码,尽可能细化原则,并持续监控和自动缓解威胁;使用服务网格来实施应用到服务和服务到服务的安全控制;使用二进制鉴证以验证二进制文件的来源;除传统加密外,还包括安全区域,以强制实施数据安全性的三大支柱:传输,静态和内存。有关该主题的有用介绍,请参阅 NIST ZTA 刊物和有关 BeyondProd 的 Google 白皮书。

May 2020
试验?

随着资产(数据、功能、基础架构和用户)跨越安全边界(本地主机,多云提供商以及各种SaaS供应商),组织的技术版图正在变得越来越复杂。这就要求企业安全计划和系统架构进行范式转变:从基于信任区和网络配置的静态、缓慢改变的安全策略,转变为基于临时访问权限的动态、细粒度的安全策略。

零信任架构(Zero trust architecture, ZTA)是组织针对其所有资产(设备、基础设施、服务、数据及用户)实施零信任安全原则的策略和流程,以及对最佳实践的践行(包括不论网络位置确保所有访问和通信的安全、强制基于最小权限原则并尽可能细粒度控制的策略即代码、持续监控和自动缓解威胁等)。技术雷达介绍了很多赋能技术,例如安全策略即代码端点安全边车BeyondCorp。如果准备进一步了解ZTA,请参阅 NIST ZTA 和 Google 在BeyondProd 上发表的文章,以了解更多关于原则、赋能技术组件及迁移模式的信息。