【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

零信任落地的现实困境

  • 2021-07-20
  • 本文字数:1713 字

    阅读完需:约 6 分钟

零信任落地的现实困境

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。


零信任是一种安全体系架构,它打破了传统的认证即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。

零信任安全体系建设的愿景


1、依托IAM技术、终端环境感知技术,重构企业身份体系和身份策略,推动网络人员身份的可信任;


2、改变传统的认证方式,构建先认证后连接和持续认证机制,提升网络的防护能力;


3、结合终端、EDR、业务行为、网络态势等因素,建立持续信任评估机制和模型,支撑动态自适应访问控制权限管理,保护业务和数据的安全性;


4、支撑远程办公、大数据中心、云安全平台等多种场景的安全防护。


然而,零信任安全体系的落地之旅,不仅仅是简单的产品部署,它是一项复杂的工程,涉及组织管理、技术、成本等多项因素,在实际落地过程中存在着技术层面、管理层面、投入与落地周期等困境。

技术层面困境

身份管理


零信任的基础是以身份为中心,需要以 IAM 为基础建立用户业务系统身份管理机制。部分用户的身份管理基础薄弱,各业务系统独立的身份系统,分散在系统中的身份数据异构体难以形成统一管理,使得零信任在企业身份管理部署期间,需要优先考虑 IAM 建设,逐步形成多因素的身份管理策略。

权限管理


基于角色的授权 RBAC 是当前企业业务系统主要的授权模型,权限管理分散,零信任采用 ABAC 授权模型,需要对当前用户权限进行整合改造,改造调整涉及众多的业务系统,难度比较大。


动态授权和持续信任是零信任的核心之一,需要在权限统一管理基础上建立持续信任评估机制,而参与信任评估的因素的多少决定信任评估结果的准确率,信任评估模型作为零信任的核心,需要根据不同网络构建不同的评估模型,准确精准度要求高,当前持续信任缺乏统一的落地。目前缺乏统一的信任评估机制标准体系指标,动态授权落地难。

产品、体系融合


零信任是一个安全体系,涉及终端环境感知、IAM、EDR、UEBA 等多种安全产品,在用户实际环境中可能用户已经具备态势感知、终端环境感知等相关的安全产品,零信任系统需要同这些系统进行对接融合,融合难度大。


等保 2.0 中明确系统安全保护环境是区分安全区域边界的,与零信任的不再以一个清晰的边界来划分信任的观点是存在矛盾点的


但零信任的本质概念上,除了不再区分清晰的边界,其实还有另一个层面,就是信任网络或是信任访问的概念,所以零信任在我国企业网络环境中的落地,存在基于等保防护思路和零信任技术体系的融合。

管理层面困境


零信任致力于打造一个安全可信任的网络环境,会很大程度上改变用户现在已有的网络访问方式,从推广力度上存在一定的难度。


作为一种新的技术体系,传统的管理要求、管理制度已经不适用于新的技术配套要求,需要对现有的管理要求、管理制度、管理组织进行调整,驱动零信任体系建设、维护工作。

投入和落地周期困境


零信任在 Google Beyond Corp 实施落地用了 7 年时间,落地周期长,成本消耗高。


零信任本身属于一个安全建设体系,不是一个产品或是一个平台,涉及 IAM、终端管理、EDR、态势感知、行为分析等多种技术手段,投资高,建设周期长。


所以,零信任建设需要根据不同企业梳理现有的网络环境以及零信任建设程度,分步融合现有环境逐步实施。


完整的零信任是一个理想的愿景,用户在构建零信任网络之前,首先需要确定实现范围,成熟度较高的零信任网络包含许多交互的子系统。


最开始构建零信任网络时,不需要满足全部需求,而应当在实现过程中逐步完善,部分用户应避免陷入到“最初构建零信任体系对现有安全体系的改变很小,而误认为只需用极小的成本,极少的调整便可一劳永逸地实现零信任安全架构,从而摒弃对零信任架构持续建设和完善”的误区。


延伸阅读:


零信任不是“银弹”》


读懂零信任:起源、发展与架构


浅析零信任技术在国内外的不同发展路线

2021-07-20 17:012671

评论

发布
暂无评论
发现更多内容

智能电视APP鲜时光,如何应用AB测试打造极致的用户观看体验?

字节跳动数据平台

几天不写React,已经看不懂语法了

伤感汤姆布利柏

业务创新的利器:探索Flutter与小程序容器的融合应用

FinClip

深度剖析之由浅入深揭秘JavaScript类型转换(最全总结篇)

控心つcrazy

JavaScript 类型转换 隐式转换 类型 强制类型转换

科研类项目核算的“法、术、器”(一)

用友BIP

项目云

王海峰最新发声!

飞桨PaddlePaddle

人工智能 百度 paddle 飞桨 百度飞桨

Kurator v0.4.0版本更新4大内容,满足多云环境的复杂需求

华为云开发者联盟

云原生 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

用友iuap亮相全球数字经济大会助力企业升级数智化底座

用友BIP

数智底座

《2022-2023年中国大数据市场研究年度报告》正式发布,腾讯云位列领导者行列

Geek_2d6073

万字血书React—走近React

不在线第一只蜗牛

React 教程分享

手把手教学构建农业知识图谱:农业领域的信息检索+智能问答,命名实体识别,关系抽取,实体关系查询

汀丶人工智能

人工智能 深度学习 nlp 知识图谱 智能问答

科兴未来|第二届T-MAX“科创太仓”国际创新创业--先进材料专场赛

科兴未来News

数据库运维实操优质文章分享(含Oracle、MySQL等) | 2023年6月刊

墨天轮

MySQL 数据库 oracle postgresql 国产数据库

Pytorch: 数据读取机制Dataloader与Dataset

timerring

人工智能

万字好文:大报文问题实战 | 京东物流技术团队

京东科技开发者

MySQL 网关 报文 企业号 7 月 PK 榜 大报文

一份保姆级的Stable Diffusion部署教程,开启你的炼丹之路 | 京东云技术团队

京东科技开发者

人工智能 AI绘画 Stable Diffusion 企业号 7 月 PK 榜

谈谈我这两年的前端开发经验

树上有只程序猿

INFINI Labs 产品更新 | Easysearch 新增 kNN 搜索功能、Console 支持 LDAP 认证登录等

极限实验室

console Gateway 产品更新 easysearch 极限科技

基于知识图谱的《红楼梦》人物关系可视化及问答系统(含码源):命名实体识别、关系识别、LTP简单教学

汀丶人工智能

人工智能 深度学习 nlp 知识图谱 智能问答

加速布局,用友为国产化替代保驾护航!

用友BIP

国产替代

京东统一头尾管理系统探索实践 | 京东云技术团队

京东科技开发者

管理系统 企业号 7 月 PK 榜 头尾管理

飞桨和硬件伙伴们在WAIC 2023!

飞桨PaddlePaddle

人工智能 百度 paddle 飞桨 百度飞桨

新兴技术与禅坐 | 聊聊经验 | 社区征文

写程序的小王叔叔

经验分享 年中技术盘点

gRPC 接口调试利器,让你成为高效开发者

Apifox

程序员 gRPC RPC 开发 RPC 协议实现原理

新能力提升全面预算管理效率和效力

用友BIP

全面预算

快速提效,便捷易用 | 嘉为蓝鲸数字化运营中心全方位体验升级

嘉为蓝鲸

运维 IT weops

Rainbond开源

EquatorCoco

开源 rainbond

户外led显示屏常见规格有哪些

Dylan

广告 屏幕亮度 像素 LED显示屏 户外LED显示屏

Git操作不规范,战友提刀来相见!

树上有只程序猿

IT运维的福音!WeOps综合服务让运维更简单

嘉为蓝鲸

运维 IT weops

数智化赋能企业,开启全新商业模式

用友BIP

国产替代

零信任落地的现实困境_安全_启明星辰_InfoQ精选文章