作为一种新兴安全理念和技术,零信任经过近十年的发展,正在从实践迈向落地应用。随着零信任从理念架构到落地实践的不断突破,如何加速构建零信任安全体系,用零信任解决方案保障千行百业的数字化转型成为目前行业普遍关注的焦点,在安全牛近期的研究中,我们也就此进行了观察与思考。
图1 零信任技术的应用发展
从零信任国际发展历程中看到,2017年前零信任还是历经了一段长时间的慢跑;2017年后陆续提出了一系列的技术标准和架构,其节奏逐渐变快;从2021年开始,零信任相关技术的成熟度明显提升。
1. 零信任的实践与应用
Google BeyondCorp是零信任的一个早期实践,其是基于理念从零开始设计和构建零信任模型,历经了数年的探索和实践。其实践的基本思想是将访问主体、客体、及访问权限进行了细粒度关联和控制,核心组件包括设备、用户、应用和工作流、网络。其中,将网络划分了特权网络和非特权网络,在非特权网络主要通过访问代理(GFE)提供集中化的粗粒度的策略强制执行机制,陆续对GFE能力进行扩展,包括认证、授权、审计等。
相比BeyondCorp,DISA(美国国防信息系统局)零信任战略实践的环境更复杂,其目标是从分散的各部门独立的安全建设向统一安全防护架构改造。根据最新消息,DISA战略于2022年1月份开始启动,启动前用一年多的时间进行方案评估和架构规划。其过程从时间轴上如图2所示:
图2 DISA零信任战略推进的路线
2020年10月,零信任参考框架在DISA的JITC(联合互操作性测试指令)实验室进行构建并测试,其目标是开发出一个不受供应商限制的解决方案。这一验证也为后续的战略计划和方案建设奠定了信心和基础。该验证之前, NIST下属的 NCCoE(国家网络安全卓越中心)在2020年03月发布过《实现零信任架构》项目说明书(草案),也是旨在通过商用产品构建零信任架构。
在架构设计中,定义了零信任架构的7个支柱性性元素,分别是:用户、设备、网络/环境、应用/工作负载、数据、可视化/分析、自动化与编排,并对这些元素匹配了具体的能力和关键技术。2021年10月份基于零信任架构进一步提出了构建方案—Thunderdome,确定通过SASE重构来实施零信任战略。最后,根据确定的方案制定出项目具体的实施计划。
图3 美国零信任实践到应用发展的五个阶段
Thunderdome方案实施的同时,美国管理和预算办公室(OMB)也发布了《联邦政府零信任战略》正式版,明确了美国“民用机构”零信任架构的五个核心支柱,进一步从管理、技术、架构、基础设施选用维度提出了具体要求。OMB与DISA零信任战略规划的过程看上去非常相似,但OMB的建设速度相对DISA又加快了很多。而DISA从互操作验证到项目落地实施每个阶段都保留了一段过渡时间,整个过程看上去更谨慎些。
总结美国从实践到DISA重构转型的过程,其中经历了技术实践、互操作性验证、架构规划、技术方案、实施计划5个阶段。如果说早期BeyondCorp是实践,那么今天DISA和OMB的零信任战略则承载了重要安全任务并且有技术标准、有架构验证、有全局规划及妥善计划的落地应用。这在一定程度上标志着零信任从实践走向了应用。
2. 我国零信任应用的观察
在国内,“替代科学”一度被认为是零信任的重要使命之一。但科学最初的使命是为远程访问建立专用网络,而零信任的初衷是数据保护的一种安全范式,旨在防止数据泄露和限制内部横向移动。用科学应对云时代海量远程接入的安全访问需求原本也很牵强,但科学持续暴露的安全风险,确实是助力零信任发展的重要力量之一,并且推动SDP网关成为替代企业远程办公的重要解决方案。
我们看到,保障零信任行业应用的相关配套标准已经开始出现。中国电子标准化协会主导的《零信任技术规范》、中国城市轨道交通协会主导的《城市轨道交通云平台网络安全技术规范》,均给出了采用零信任理念时强访问控制的技术要求及可参考的逻辑架构,强调不管是人、设备、应用还是数据都要进行身份标识、访问认证和动态授权。同时,商密行业为进一步增强了证书体系的安全性也在践行零信任,在重要的访问控制环节结合零信任理念对传统数字证书的分发、授权进行改造。
零信任理念对传统安全产品的赋能也再进一步加强:
(1)在用户识别能力方面,零信任赋能了IAM为代表的身份与访问安全技术,对用户认证的需求又驱动了权限管理和特权管理成为更加重要的能力单元。
(2)在网络与通信安全方面,以SDP为中心的访问控制方案已成为网络远程接入安全的重要组成,但目前企业方面还是处于尝试状态,如何更好地进行持续风险评估,以及是否可以完全无特权访问还待验证。
(3)在终端安全方面,除了网络接入侧强验证,零信任也进一步推进了安全引擎、沙盒、虚拟空间等技术在终端安全上的应用,扩展了终端基线检测、入侵检测/防护、审计等安全管理能力。这不仅对大量的、分散部署的终端风险管理的助力很大,也将帮助XDR提高快速检测-响应能力。
(4)在数据安全方面,零信任理念整合了传统数据安全的访问和管控能力,能很好应对云平台上大数据的碎片化管理问题;对移动和远程终端上的数据泄露问题,通过终端的虚拟空间技术也得到了很好的扩展;另外,对数据中心的数据安全问题,在网络侧进行数据管控会更适合,但从访问控制和部署角度看,其方案与远程办公的零信任方案又有异途同归之处。
(5)在零信任理念的影响下,应用交付、WEB 科学类设备相比传统的应用交付也做了很多改进:部署方案上访问控制和策略管理在逐渐分离,产品设计上在增强多因素认证以改进权限管理策略,特别是在应对API访问泛在化的安全风险中涌现了一波专业API安全防护能力,提升了运行时应用自我防护能力。
零信任理念让用户、终端、网络、数据、应用五个方面安全能力都有了诸多改变,但是从系统化的建设角度看,国内目前的应用还很有限:
(1)零信任架构是一种集成了诸多安全能力的综合性解决方案,对组件的依赖性大。但需求侧,企业在零信任方案采购中更愿意选择不受供应商限制的解决方案。
(2)从供给侧来看,目前阶段零信任方案还多由厂商主导,多以其擅长领域的能力提供为主,支撑企业进行零信任全局战略规划的难度较大。
(3)目前行业缺乏零信任方案组合的互操作性评估。同时对行业现有的零信任构建框架,需要更多的实践去验证。
学习网络安全可以修电脑吗?
你学习的是网络安全,因为他要学习一部分的电脑知识和结构维修等内容,所以是可以修电脑的
跑跑道具赛需要注意哪些?
1。 漂移。 普通的漂移需要做到贴弯,尽可能在比赛中锻炼这一能力。 这是提高成绩的基本因素。 2。 断位。 断位并不是直线可以断,任何时候都可以断位。 但是有些朋友却过分的乱断,这样不会提高成绩,反而会降低成绩。 断位通常选择喷卡断位或者下坡后断位。 这样利用比较高的行驶速度可以减少因为断位而造成的速度损失。 切忌不要不停的断位。 那样成绩不会高的。 3。 对于漂移和喷加速的原理。 漂移会减慢车速,并且攒出加速卡,漂移后可以喷一下火。 这3个因素都是互相联系的。 所以我们应该协调它们之间的关系,用最佳化的漂移攒出加速卡,并且能够漂移后喷出火。 然后利用加速卡弥补漂移带来的速度损失。 如果你能够把3者协调起来,你才会发现比抓地跑要快。 如果3者做的不协调,那么不如抓地跑呢。 4。 对于喷卡过比较平缓的弯道。 比如高速第2圈后,我们是一直喷着卡跑的。 但我们需要经历好几个平缓的弯道,我相信大部分玩家都是喷着卡漂移2~3次来过这种弯道,但如果你在过弯时注意一下你车的过弯路线,你会发现:你的路线是一个M形状。 并且每一次漂移的速度损失相当大,由于M型路线使你的行走路线加长,使卡的应用效率降低了许多。 所以像这种平缓的弯道,唯一的处理方法就是****点漂****。 点漂是一种提高成绩的重要因素。 可能很多朋友还没有听过或见过现实中的点漂, 点漂的实际操作有点像连喷的感觉, 只是我们一直按着前罢了(因为我们喷着卡呢)。 如果经过练习后,我们可以在喷卡点漂之后直接接上连喷,整个过程都是非常贴进弯道的。 利用点飘,我们可以像连喷一样一直攒气过弯,并且出弯的最后一下可以喷射并且攒出一大段气。 所以如果想提高成绩3-4秒的话,就必须得掌握点漂了。 (想要学习点漂的朋友,好象网上没有专门的录象,你们可以去看韩国人的跑跑录象,每个都会运用到。 其中还有扫漂,扫飘断位等技术)5。 加速卡的利用时间 。 加速卡要用在车速低的地方。 什么地方车速低呢? 上坡,沙地,水滩,过弯时。 为什么要在速度低的地方用呢? 原理很简单:我们在车速低的地方保持比较高的速度,而在车速正常时能够正常行驶,所以我们的整体平均速度就高了,所以跑相同距离所用的时间就少了。 6。 避免盲目跟随前方的车这是实战中一定要注意的。 很多玩家在比赛中见到前方的车跑的很快,就产生了一种去追的冲动而乱了自己的步伐。 希望大家注意这个问题,跑比赛是和自己比赛, 是自己的不断提高。 心中总有杂念是无法发挥自己正常水平的。 就算你因为追前方的车而有了成绩的提高,那也是假的。 因为追加速度已经在作怪了。 所以跑比赛还是看自己。 重要的不是每一局的快
大数据云计算好不好学习?
大数据专业还是很好学习的,当前,国家大数据战略实施已经到了落地的关键时期,大数据技术产业创新发展、大数据与实体经济深度融合、以及大数据安全管理与法律规制等方面都进入了攻坚阶段大数据领域的人才需求主要围绕大数据的产业链展开,涉及到数据的采集、整理、存储、安全、分析、呈现和应用,岗位多集中在大数据平台研发、大数据应用开发、大数据分析和大数据运维等几个岗位。当前整个IT行业对于大数据人才的需求量还是比较大的
发表评论