写点什么

零信任落地的现实困境

2021 年 7 月 20 日

零信任落地的现实困境

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。


零信任是一种安全体系架构,它打破了传统的认证即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。

零信任安全体系建设的愿景


1、依托IAM技术、终端环境感知技术,重构企业身份体系和身份策略,推动网络人员身份的可信任;


2、改变传统的认证方式,构建先认证后连接和持续认证机制,提升网络的防护能力;


3、结合终端、EDR、业务行为、网络态势等因素,建立持续信任评估机制和模型,支撑动态自适应访问控制权限管理,保护业务和数据的安全性;


4、支撑远程办公、大数据中心、云安全平台等多种场景的安全防护。


然而,零信任安全体系的落地之旅,不仅仅是简单的产品部署,它是一项复杂的工程,涉及组织管理、技术、成本等多项因素,在实际落地过程中存在着技术层面、管理层面、投入与落地周期等困境。

技术层面困境

身份管理


零信任的基础是以身份为中心,需要以 IAM 为基础建立用户业务系统身份管理机制。部分用户的身份管理基础薄弱,各业务系统独立的身份系统,分散在系统中的身份数据异构体难以形成统一管理,使得零信任在企业身份管理部署期间,需要优先考虑 IAM 建设,逐步形成多因素的身份管理策略。

权限管理


基于角色的授权 RBAC 是当前企业业务系统主要的授权模型,权限管理分散,零信任采用 ABAC 授权模型,需要对当前用户权限进行整合改造,改造调整涉及众多的业务系统,难度比较大。


动态授权和持续信任是零信任的核心之一,需要在权限统一管理基础上建立持续信任评估机制,而参与信任评估的因素的多少决定信任评估结果的准确率,信任评估模型作为零信任的核心,需要根据不同网络构建不同的评估模型,准确精准度要求高,当前持续信任缺乏统一的落地。目前缺乏统一的信任评估机制标准体系指标,动态授权落地难。

产品、体系融合


零信任是一个安全体系,涉及终端环境感知、IAM、EDR、UEBA 等多种安全产品,在用户实际环境中可能用户已经具备态势感知、终端环境感知等相关的安全产品,零信任系统需要同这些系统进行对接融合,融合难度大。


等保 2.0 中明确系统安全保护环境是区分安全区域边界的,与零信任的不再以一个清晰的边界来划分信任的观点是存在矛盾点的


但零信任的本质概念上,除了不再区分清晰的边界,其实还有另一个层面,就是信任网络或是信任访问的概念,所以零信任在我国企业网络环境中的落地,存在基于等保防护思路和零信任技术体系的融合。

管理层面困境


零信任致力于打造一个安全可信任的网络环境,会很大程度上改变用户现在已有的网络访问方式,从推广力度上存在一定的难度。


作为一种新的技术体系,传统的管理要求、管理制度已经不适用于新的技术配套要求,需要对现有的管理要求、管理制度、管理组织进行调整,驱动零信任体系建设、维护工作。

投入和落地周期困境


零信任在 Google Beyond Corp 实施落地用了 7 年时间,落地周期长,成本消耗高。


零信任本身属于一个安全建设体系,不是一个产品或是一个平台,涉及 IAM、终端管理、EDR、态势感知、行为分析等多种技术手段,投资高,建设周期长。


所以,零信任建设需要根据不同企业梳理现有的网络环境以及零信任建设程度,分步融合现有环境逐步实施。


完整的零信任是一个理想的愿景,用户在构建零信任网络之前,首先需要确定实现范围,成熟度较高的零信任网络包含许多交互的子系统。


最开始构建零信任网络时,不需要满足全部需求,而应当在实现过程中逐步完善,部分用户应避免陷入到“最初构建零信任体系对现有安全体系的改变很小,而误认为只需用极小的成本,极少的调整便可一劳永逸地实现零信任安全架构,从而摒弃对零信任架构持续建设和完善”的误区。


延伸阅读:


零信任不是“银弹”》


读懂零信任:起源、发展与架构


浅析零信任技术在国内外的不同发展路线

2021 年 7 月 20 日 17:011413

评论

发布
暂无评论
发现更多内容

谈谈中台架构之交易中台

艾小仙

Flink + Hudi 在 Linkflow 构建实时数据湖的生产实践

Apache Flink

flink

GitHub开源:17M超轻量级中文OCR模型、支持NCNN推理

不脱发的程序猿

人工智能 GitHub 开源项目 OCR 四月日更

【转载】提高系统开发效率的“银弹”——X-series可视化大规模应用开发工具集

赫杰辉

2021年互联网影视峰会!原创报道,Adobe国际认证助力摄影前途!

Adobe国际认证

Adobe国际认证

制作金融业、股票K线图选择AnyStock还是LightningChart

Geek_bacee5

LightningChart 金融图表控件

从源码分析 MySQL 死锁问题入门

比伯

Java 编程 程序员 架构 计算机

ipfs矿机公司最新排名?ipfs项目是真的吗?ipfs国家认可吗?

v:IPFS456

IPFS Filecoin IPFS怎么挖矿 IPFS国家认可吗

Arction高性能图表控件LightningChart将条形图与自定义刻度对齐问题解答

Geek_bacee5

LightningChart.NET Arction

马丁量化策略交易系统开发,量化交易平台搭建app

WX13823153201

一入爬虫深似海,从此早睡是路人

Thrash

事件分发源码,Android事件分发机制收藏这一篇就够了,威力加强版

欢喜学安卓

android 程序员 面试 移动开发

三步法助你快速定位网站性能问题

华为云开发者社区

html 网站 网站优化 Performance面板 瀑布图

轻松带你学习java-agent

华为云开发者社区

Java Trace Java虚拟机 java-agent 挂载

实践案例丨Pt-osc工具连接rds for mysql 数据库失败

华为云开发者社区

MySQL 数据库 pt-osc工具 rds for mysql

前端规范之路

白玉兰开源

前端 前端框架 前端进阶 开发规范

手把手教你从数据预处理开始体验图数据库

Nebula Graph

数据库 数据预处理

分布式锁之Redis实现

Sakura

四月日更

4行指令解决pip下载Python第三方库太慢问题(pip更换国内下载源)

不脱发的程序猿

Python pip 四月日更 Python库安装

Golang 对象池

escray

go 极客时间 学习笔记 4月日更 Go 语言从入门到实践

Kubernetes入门——Kubernetes应用部署

百度开发者中心

Kubernetes #技术课程#

5个超好用的Instagram图片下载工具推荐

科技猫

分享 下载 教程 图片 Instagram

阿里巴巴的“双11”高并发秒杀终极版教程!(Java语言设计)

Java架构追梦

Java 阿里巴巴 架构 面试 秒杀架构设计

前端⼤规模构建演进实践

白玉兰开源

架构 前端 前端进阶

Android实现文档在线预览功能

寻找生命中的美好

android pdf预览 文档预览

智慧公安系统开发解决方案,情指行一体化管理平台建设

WX13823153201

事件分发机制Android,熬夜整理Android面试笔试题,精心整理

欢喜学安卓

android 程序员 面试 移动开发

云管平台如何纳管多云资源?

嘉为蓝鲸

云计算 运维自动化 cmp 混合云 多云管理平台

https如何使用python+flask来实现

华为云开发者社区

Python flask https ssl HTTP协议

什么是Selenium?使用Selenium进行自动化测试

信码由缰

DevOps selenium

前端DDD总结与思考

白玉兰开源

前端 前端开发 DDD 前端进阶

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

零信任落地的现实困境-InfoQ