best html templates

2019/10/16

关于Zero Trust (零信任)

Mobirise

1.零信任的定义


零信任,验证全部,保持统一的控制 — 这就是 Zero Trust 的本质。
零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。
简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。

2.零信任网络的好处


从企业数字化转型和IT环境的演变来看,云计算、移动互联的快速发展导致传统内外网边界模糊,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势。


3.零信任适用于什么企业什么情况


新的业务系统新增了遭受攻击的可能性,同时企业外围防御不再具有意义。应用程序、用户和设备正在向外扩展,这让曾经值得信赖的企业外围防御名存实亡。现在,需要在应用程序、数据、用户和设备所在的位置提供保护。

  • 用户、设备、应用程序和数据正在移到企业边界和控制区域之外。
  • 数字化转型推动的新业务流程增加了风险。
  • “信任,但也要验证”的理念不再适用,因为高级定向威胁正在移至企业边界之内。
  • 传统的边界防御不仅非常复杂,而且会增加风险,并且不再切合当今的业务模式。

4.零信任与玉符的关系,即 ,如何利用玉符实现零信任?


第一,重新审视现有网络的基础架构,通过对内部网络进行更加精细的分段和隔离,构建内网的塔防体系。同时,通过提升对安全策略执行效果的感知能力,及时发现访问控制的疏漏,避免安全设备成为“摆设”,维持网络的结构坚固;

第二,构建统一管理平台,加强安全设备维护管理,依靠自动化、半自动化的手段提升应急处置的效率与准确性,企业用户选择某一品类安全产品时应优先考虑同一品牌,以降低运维管理、应急响应的操作难度。

第三,重视持续监控,通过数据分析构建用户对于风险、威胁的发现和感知能力,向“积极防御”持续迈进。


零信任安全的本质是基于身份的访问控制,具体实践中需要充分考虑授权策略的自适应、可管理、可扩展几方面的平衡。玉符采用基于角色的访问控制模型RBAC和基于属性的访问控制模型ABAC相结合的方式。

RBAC:玉符将管理员分为多个角色,例如人员/部门管理员、应用管理员、日志管理员等,并且可以对每个具体角色管控内容进行细粒度设置,例如管控范围和只读/读写操作,符合企业管控权限合规要求。

ABAC:玉符系统中设有规则系统,可以用于设置同步范围或者应用权限可用范围,管理员可以对具体人员或者部门进行权限或范围分配,也可以对属性符合某些条件的特定对象群体进行统一划分管控。

  • 通过RBAC实现粗粒度授权,建立满足最小权限原则的权限基线
  • 通过ABAC模型,基于主体、客体和环境属性实现角色的动态映射,满足灵活的管理需求
  • 通过风险评估和分析,对角色和权限进行过滤,实现场景和风险感知的动态授权


在零信任安全架构中,玉符的智能身份分析为自适应访问控制和身份治理提供智能支撑。

  • 通过采集各种设备、用户、环境相关的属性和业务访问的日志信息,智能身份分析引擎可实时评估当前访问请求的风险值,并将这个风险值作为访问控制的关键判定因子。
  • 智能身份分析也是身份治理的关键能力,持续对权限策略进行优化和风险评估,并触发工作流引擎对策略进行调整,形成身份和权限的智能闭环治理。



零信任安全架构的核心基于现代身份管理技术进行构建,相对于传统身份管理,玉符身份管理平台具备敏捷、安全、智能的优势。

  • 基于敏捷的身份生命周期管理机制,满足企业对内部、外部、客户等不同身份的管理;
  • 基于智能身份分析和动态访问控制技术,具备对未知风险的防护能力
  • 基于现代的云计算和微服务等技术手段进行构建,满足现代企业弹性的部署需求,并且由于这些新架构的运用,也大幅提升了客户的部署效率,降低上线成本。

咨询热线

400-110-9838

市场合作

marketing@yufuid.com

400-110-9838