写点什么

零信任落地的现实困境

  • 2021-07-20
  • 本文字数:1713 字

    阅读完需:约 6 分钟

零信任落地的现实困境

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。


零信任是一种安全体系架构,它打破了传统的认证即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。

零信任安全体系建设的愿景


1、依托IAM技术、终端环境感知技术,重构企业身份体系和身份策略,推动网络人员身份的可信任;


2、改变传统的认证方式,构建先认证后连接和持续认证机制,提升网络的防护能力;


3、结合终端、EDR、业务行为、网络态势等因素,建立持续信任评估机制和模型,支撑动态自适应访问控制权限管理,保护业务和数据的安全性;


4、支撑远程办公、大数据中心、云安全平台等多种场景的安全防护。


然而,零信任安全体系的落地之旅,不仅仅是简单的产品部署,它是一项复杂的工程,涉及组织管理、技术、成本等多项因素,在实际落地过程中存在着技术层面、管理层面、投入与落地周期等困境。

技术层面困境

身份管理


零信任的基础是以身份为中心,需要以 IAM 为基础建立用户业务系统身份管理机制。部分用户的身份管理基础薄弱,各业务系统独立的身份系统,分散在系统中的身份数据异构体难以形成统一管理,使得零信任在企业身份管理部署期间,需要优先考虑 IAM 建设,逐步形成多因素的身份管理策略。

权限管理


基于角色的授权 RBAC 是当前企业业务系统主要的授权模型,权限管理分散,零信任采用 ABAC 授权模型,需要对当前用户权限进行整合改造,改造调整涉及众多的业务系统,难度比较大。


动态授权和持续信任是零信任的核心之一,需要在权限统一管理基础上建立持续信任评估机制,而参与信任评估的因素的多少决定信任评估结果的准确率,信任评估模型作为零信任的核心,需要根据不同网络构建不同的评估模型,准确精准度要求高,当前持续信任缺乏统一的落地。目前缺乏统一的信任评估机制标准体系指标,动态授权落地难。

产品、体系融合


零信任是一个安全体系,涉及终端环境感知、IAM、EDR、UEBA 等多种安全产品,在用户实际环境中可能用户已经具备态势感知、终端环境感知等相关的安全产品,零信任系统需要同这些系统进行对接融合,融合难度大。


等保 2.0 中明确系统安全保护环境是区分安全区域边界的,与零信任的不再以一个清晰的边界来划分信任的观点是存在矛盾点的


但零信任的本质概念上,除了不再区分清晰的边界,其实还有另一个层面,就是信任网络或是信任访问的概念,所以零信任在我国企业网络环境中的落地,存在基于等保防护思路和零信任技术体系的融合。

管理层面困境


零信任致力于打造一个安全可信任的网络环境,会很大程度上改变用户现在已有的网络访问方式,从推广力度上存在一定的难度。


作为一种新的技术体系,传统的管理要求、管理制度已经不适用于新的技术配套要求,需要对现有的管理要求、管理制度、管理组织进行调整,驱动零信任体系建设、维护工作。

投入和落地周期困境


零信任在 Google Beyond Corp 实施落地用了 7 年时间,落地周期长,成本消耗高。


零信任本身属于一个安全建设体系,不是一个产品或是一个平台,涉及 IAM、终端管理、EDR、态势感知、行为分析等多种技术手段,投资高,建设周期长。


所以,零信任建设需要根据不同企业梳理现有的网络环境以及零信任建设程度,分步融合现有环境逐步实施。


完整的零信任是一个理想的愿景,用户在构建零信任网络之前,首先需要确定实现范围,成熟度较高的零信任网络包含许多交互的子系统。


最开始构建零信任网络时,不需要满足全部需求,而应当在实现过程中逐步完善,部分用户应避免陷入到“最初构建零信任体系对现有安全体系的改变很小,而误认为只需用极小的成本,极少的调整便可一劳永逸地实现零信任安全架构,从而摒弃对零信任架构持续建设和完善”的误区。


延伸阅读:


零信任不是“银弹”》


读懂零信任:起源、发展与架构


浅析零信任技术在国内外的不同发展路线

2021-07-20 17:013169

评论

发布
暂无评论
发现更多内容

web前端技术学习完后怎么找工作呢

小谷哥

【技术人才懂的浪漫】TiDB 社区为你准备好了给另一半的“七夕节”礼物,回复:我要挑战,即可参与活动!

TiDB 社区干货传送门

模块2作业

项目越写越大,我是这样做拆分的

小鑫同学

项目架构 7月月更

字节跳动数据质量动态探查及相关前端实现

字节跳动数据平台

字节跳动 数据监控 数据探查

C 语言入门(八)

逝缘~

7月月更

【Docker 那些事儿】如何高效地搭建 Docker 私有仓库

Albert Edison

Docker Kubernetes 容器 云原生 7月月更

5个开源组件管理小技巧

SEAL安全

安全 软件供应链 开源组件

别再说你不知道函数递归了-入门知识

芒果酱

C语言 7月月更

零基础可以自学web前端技术吗

小谷哥

企业遇到知识管理困境该怎么办?这里有解决方案!

Baklib

在互联网+的潮流中,企业客户服务该何去何从?

Baklib

互联网+ 客户服务

排队助手 | 2022年6月产品更新日志

天天预约

微信小程序 SaaS应用 排队工具 便民服务

【刷题记录】14.最长公共前缀

WangNing

7月月更

十分钟生成影视级室内设计效果,红星美凯龙设计云如何升级传统家居行业

阿里云弹性计算

gpu 智能家居 异构计算

利用小程序运行时技术增强Flutter跨端开发属性

Speedoooo

flutter 小程序 移动开发 小程序容器

用 Flutter 给小姐姐的照片调个颜色滤镜

岛上码农

flutter ios 前端 安卓开发 7月月更

运营商的时代之旅:种下5.5G的魔豆,攀上数字化的天空花园

脑极体

在web前端培训中怎么提升前端技术能力

小谷哥

关于Java&JavaScript中(伪)Stream式API对比的一些笔记

山河已无恙

Java stream JavaScrip

SQL 改写系列六:谓词推导

OceanBase 数据库

历史的坑,只能尽量填平

技术小生

事故复盘 7月月更

通过 MSE 实现基于Apache APISIX的全链路灰度

阿里巴巴云原生

Apache 阿里云 微服务 云原生 灰度发布

不同学习方式的web前端程序员有什么区别

小谷哥

新星计划Day10【数据结构与算法】 排序算法

京与旧铺

7月月更

技术解析|Doris Connector 结合 Flink CDC 实现 MySQL 分库分表 Exactly Once精准接入

SelectDB

数据库 flink 数据仓库 Doris

零基础小白该如何选择web前端课程呢

小谷哥

数字藏品加速破圈,助力产业发现新机遇

智捷云

NFT 区块链数字藏品 数字藏品 智捷云 智捷云科技

Python异常知多少

迷彩

Python 异常处理 7月月更

基于EasyCV复现DETR和DAB-DETR,Object Query的正确打开方式

阿里云大数据AI技术

深度学习 开源 自监督学习

当转转严选订单遇到状态机

转转技术团队

架构 状态机

零信任落地的现实困境_安全_启明星辰_InfoQ精选文章