自從2023年forrester資深分析師john kindervag第一次提出,並經過google beyondcorp專案落地之後,零信任概念在業界已經得到廣泛傳播,並且有深厚基礎。
而近幾年在零信任基礎上發展起來的微分域(micro-segmentation)、軟體定義邊界(sdp)等技術也已經走向成熟。
到2019 rsac,零信任成為最熱門的主題,再到nist提交《nist800-207 零信任架構》草案將零信任推向頂峰。
從概念提出到技術落地,以及相關新技術的蓬勃發展,我們可以看到,人們對於零信任的推崇從最開始踏踏實實向「最少特權」這個方向努力。
雖然在實現上遇到很多困難,但其總體架構直觀、易懂,與其它安全產品和業務系統的界線清晰。
在beyondcorp專案落地後,身份認證廠商的跟進也豐富了零信任的維度。
然而,在各個廠家的市場營銷推動下,慢慢的零信任就變味了。零信任不再是「最少特權」,而是按自己口味,將零信任與現有產品拼接組合,可謂魚龍混雜。
有些廠家口中宣傳著零信任,但在產品裡卻是「毫無保留的信任」。
比方業界大廠symantec把零信任一鍋燴成了滿漢全席:零信任資料、零信任網路、零信任人、零信任工作負載、零信任裝置、零信任可見與分析、零信任自動化與編排……甚至可以在其官方文件中看到「呼叫中心」這樣超出業界人員想象的內容。
那麼「零信任」的本質應該是什麼?
筆者認為零信任的本質是下面幾個方面:
1.身份認證以及使用者和使用者資訊管理
2.裝置管理目錄
3.策略/許可權評估服務
4.策略集中管理以及訪問**
5.異常檢測
6.ml和響應(ps:ml和響應雖不是必須的,但這應該算是zta下,可以使zta大放異彩的乙個方向。)
另外一方面,這並不意味著零信任就是乙個刻板的、固定範圍的概念。只要零信任的實現遵循一些原則,零信任的技術領地還是可以不斷擴充套件的:
隨著資料分析技術和大資料技術的發展,以及硬體效能的提公升,網路安全領域的研究已經進入高速發展的時代。
而零信任安全的本質是以身份為中心進行動態訪問控制,基於全面身份化,為零信任網路的人、裝置、應用、系統等物理實體建立統一的數字身份標識和治理流程。
零信任方案20200717
背景 疫情催生遠端辦公需求,加速企業數位化轉型。現狀 企業數位化轉型使得使用者和裝置及應用程式和資料正在向傳統企業邊界和控制區域之外遷移,攻擊面擴大,傳統基於邊界的安全訪問模型已不再適用。解決1 vpn解決遠端辦公問題時,存在埠暴露 資料遺失等安全問題,缺乏足夠的安全性。解決2 零信任架構 一種企業...
零信任學習筆記
一 什麼是零信任架構 二 零信任的核心原則 1 將身份作為訪問控制的基礎 零信任的信任關係來自於對所有參與物件的身份驗證。所有參與物件共同構成端到端信任關係的基礎,這些參與物件包括基礎網路 裝置 使用者 應用等。零信任架構為所有物件賦予數字身份,基於身份而非網路位置來構建訪問控制體系。2 最小許可權...
零信任網路初識
目錄 概述什麼是零信任網路 零信任網路的邏輯組成 技術元件 技術壁壘 應用場景 最佳實踐 市場前景 零信任網路 是在2010年被forrester的首席分析師johnkindervag提出,他認為 企業不應自動信任內部或外部的任何人 事 物,應在授權前對任何試圖接入企業系統的人 事 物進行驗證。這個...