成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

什么是零信任網(wǎng)絡(luò)?這篇文章終于講透了

2021-02-09    分類: 網(wǎng)站建設(shè)

在網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時代,很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎?當(dāng)然不能!我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務(wù)商,也無法信任昨天在數(shù)據(jù)中心布線的合同工?!皵?shù)據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量是可信的”這一假設(shè)是不正確的。現(xiàn)代的網(wǎng)絡(luò)設(shè)計和應(yīng)用模式,已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡(luò)邊界的安全防護(hù)模式逐漸失去原有的價值。因此,網(wǎng)絡(luò)邊界的安全防護(hù)一旦被突破,即使只有一臺計算機被攻陷,攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動。

零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任,而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機制的前提下,有效地保護(hù)網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。零信任模型并不是不切實際的設(shè)想,利用已經(jīng)成熟的加密技術(shù)和自動化系統(tǒng),這一愿景完全可以實現(xiàn)。

1.1 什么是零信任網(wǎng)絡(luò)

零信任網(wǎng)絡(luò)的概念建立在以下 5 個基本假定之上。

  • 網(wǎng)絡(luò)無時無刻不處于危險的環(huán)境中。
  • 網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅。
  • 網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的可信程度。
  • 所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)。
  • 安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計算而來。

傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)把不同的網(wǎng)絡(luò)(或者單個網(wǎng)絡(luò)的一部分)劃分為不同的區(qū)域,不同區(qū)域之間使用防火墻進(jìn)行隔離。每個區(qū)域都被授予某種程度的信任,它決定了哪些網(wǎng)絡(luò)資源允許被訪問。這種安全模型提供了非常強大的縱深防御能力。比如,互聯(lián)網(wǎng)可訪問的 Web 服務(wù)器等高風(fēng)險的網(wǎng)絡(luò)資源,被部署在特定的區(qū)域(一般稱為“隔離區(qū)”,DMZ),該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制。這是一種常見的網(wǎng)絡(luò)安全架構(gòu),如圖 1-1 所示。

圖 1-1 傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)

零信任模型徹底改變了這種安全架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用,但是現(xiàn)在卻疲于應(yīng)對高級的網(wǎng)絡(luò)攻擊。傳統(tǒng)的安全模型主要有以下缺點。

需要關(guān)注的是,如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了,那么對 VPN 的需求也就消失了。VPN 的作用是對用戶進(jìn)行身份認(rèn)證并分配 IP 地址,然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò),然后進(jìn)行數(shù)據(jù)包的

解封裝和路由?;蛟S人們從來沒有想過,在某種程度上,VPN 是一種不會遭人懷疑的后門。

如果網(wǎng)絡(luò)的位置對于網(wǎng)絡(luò)安全失去價值,那么諸如 VPN 等網(wǎng)絡(luò)安全設(shè)備也會失去其原有的價值。當(dāng)然,這也迫使我們把安全控制的實施點盡可能地前推到網(wǎng)絡(luò)邊緣,這同時也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任。此外,大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻,交換和路由技術(shù)的進(jìn)展也為在網(wǎng)絡(luò)邊緣部署高級功能創(chuàng)造了機會。將所有這些改變帶來的收益匯集在一起,得出一個結(jié)論:是時候進(jìn)行網(wǎng)絡(luò)安全架構(gòu)的范式轉(zhuǎn)換了。

利用分布式策略實施和應(yīng)用零信任原則,可以構(gòu)建如圖 1-2 所示的網(wǎng)絡(luò)安全 架構(gòu)。

圖 1-2 零信任架構(gòu)

零信任的控制平面

零信任架構(gòu)的支撐系統(tǒng)稱為控制平面,其他部分稱為數(shù)據(jù)平面,數(shù)據(jù)平面由控制平面指揮和配置。訪問受保護(hù)資源的請求首先經(jīng)過控制平面處理,包括設(shè)備和用戶的身份認(rèn)證與授權(quán)。細(xì)粒度的控制策略也在這一層進(jìn)行,控制平面可以基于組織中的角色、時間或設(shè)備類型進(jìn)行授權(quán)。如果用戶需要訪問安全等級更高的資源,那么就需要執(zhí)行更高強度的認(rèn)證。

一旦控制平面完成檢查,確定該請求具備合法的授權(quán),它就會動態(tài)配置數(shù)據(jù)平面,接收來自該客戶端(且僅限該客戶端)的訪問流量。此外,控制平面還能夠為訪問請求者和被訪問的資源協(xié)調(diào)配置加密隧道的具體參數(shù),包括一次性的臨時憑證、密鑰和臨時端口號等。

雖然上述措施的安全強度有強弱之分,但基本的處理原則是不變的,即由一個權(quán)威的、可信的第三方基于多種輸入來執(zhí)行認(rèn)證、授權(quán)、實時的訪問控制等操作。

1.2 邊界安全模型的演進(jìn)

本書提到的傳統(tǒng)安全架構(gòu)通常是指“邊界安全模型”。該模型的基本思想與物理世界中通過修建城墻來保護(hù)城堡一樣,是通過構(gòu)建層層防線來保護(hù)網(wǎng)絡(luò)中的敏感資源。入侵者必須穿透這些防線,才能夠訪問敏感資源。遺憾的是,這種做法在計算機網(wǎng)絡(luò)場景下存在根本性的缺陷,實質(zhì)上無法保證敏感資源的安全性。為了充分理解這種缺陷,有必要回顧一下邊界安全模型出現(xiàn)的原因及其發(fā)展歷程。

1.2.1 管理全球 IP 地址空間

導(dǎo)致邊界安全模型出現(xiàn)的原因要從互聯(lián)網(wǎng)的 IP 地址分配開始說起。在互聯(lián)網(wǎng)發(fā)展的早期,越來越多的網(wǎng)絡(luò)連接在一起。在那個年代,互聯(lián)網(wǎng)還沒有大規(guī)模普及,一個網(wǎng)絡(luò)可能是連接到互聯(lián)網(wǎng),也可能是與其他業(yè)務(wù)部門、公司或是某個研究機構(gòu)的網(wǎng)絡(luò)相連。當(dāng)然,在任何 IP 網(wǎng)絡(luò)中,IP 地址都必須是唯一的。如果不同網(wǎng)絡(luò)的運營者使用了重疊的 IP 地址空間,那么他們必須花費很大的力氣進(jìn)行修改。如果正在連接的網(wǎng)絡(luò)恰好是互聯(lián)網(wǎng),那么 IP 地址必須是全球唯一的。很顯然,網(wǎng)絡(luò)的 IP地址分配必須通過統(tǒng)一的協(xié)調(diào)。

互聯(lián)網(wǎng)號碼分配機構(gòu)(Internet Assigned Numbers Authority,IANA)于 1998 年正式成立,直到今天 IANA 仍然是 IP 地址分配的協(xié)調(diào)機構(gòu)。在 IANA 成立之前, IP 地址分配和協(xié)調(diào)的職責(zé)是由 Jon Postel 來承擔(dān)的,他繪制了如圖 1-3 所示的互聯(lián)網(wǎng)地圖。Jon 是 IP 地址所有權(quán)記錄的權(quán)威來源,如果你想確保自己的 IP地址是全球唯一的,那么就需要到他這里注冊。在那個時代,即使網(wǎng)絡(luò)暫時不

需要連接到互聯(lián)網(wǎng),也鼓勵人們?yōu)槠渥?IP 地址,因為說不定哪天這個網(wǎng)絡(luò)就

圖 1-3 Jon Postel 于 1982 年 2 月繪制的互聯(lián)網(wǎng)早期地圖

1.2.2 私有 IP 地址空間的誕生

20 世紀(jì) 80 年代末和 20 世紀(jì) 90 年代初,隨著 IP 網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍越來越廣,隨意使用 IP 地址空間成為一個嚴(yán)重的問題。許多網(wǎng)絡(luò)雖然事實上與互聯(lián)網(wǎng)隔離,但是卻有很大的 IP 地址空間需求,連接 ATM 的網(wǎng)絡(luò)、連接大型機場航班信息顯示屏的網(wǎng)絡(luò)等,都是典型的例子。出于各種原因,這些網(wǎng)絡(luò)的確需要與互聯(lián)網(wǎng)隔離,

有的設(shè)備因為需要滿足安全或隱私的要求而與互聯(lián)網(wǎng)隔離(如 ATM);有的設(shè)備功能非常有限,通過網(wǎng)絡(luò)大規(guī)模地連接起來意義不大(如機場的航班信息顯示屏)。

于是,私有互聯(lián)網(wǎng)地址分配標(biāo)準(zhǔn)——RFC 1597 誕生了,其目的是解決大量公共 IP地址空間的浪費問題。

1994 年 3 月,RFC 1597 宣布 IANA 為私有網(wǎng)絡(luò)保留 3 個 IP 地址范圍:10.0.0.0/8、 172.16.0.0/12 和 192.168.0.0/16。這樣可以確保大型私有網(wǎng)絡(luò)的地址空間不會超出分配的范圍,從而減緩公共 IP 地址空間的消耗,也使得網(wǎng)絡(luò)運營者能夠在適當(dāng)?shù)臅r候使用非全球唯一的 IP 地址。此外,私有 IP 地址空間的使用還產(chǎn)生了另外一個效果,而且直到今天仍然在發(fā)揮作用——使用私有地址空間的網(wǎng)絡(luò)更加安全,因為這些網(wǎng)絡(luò)無法連接到其他網(wǎng)絡(luò),特別是連接到互聯(lián)網(wǎng)。

在那個年代,連接到互聯(lián)網(wǎng)的組織相對來說比較少,因此,內(nèi)部網(wǎng)絡(luò)經(jīng)常使用保留的私有網(wǎng)絡(luò)地址空間。另外,網(wǎng)絡(luò)的安全防護(hù)措施也非常弱,甚至完全沒有,因為這些網(wǎng)絡(luò)在物理上通常位于一個組織的內(nèi)部,攻擊者很難接觸到。

1.2.3 私有網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)

互聯(lián)網(wǎng)應(yīng)用的發(fā)展非常迅速,很快大多數(shù)組織都希望以某種方式出現(xiàn)在互聯(lián)網(wǎng)上。電子郵件就是較早的互聯(lián)網(wǎng)應(yīng)用之一。人們希望能夠發(fā)送和接收電子郵件,這就意味著他們需要一個可公開訪問的郵件服務(wù)器,也意味著他們需要以某種方式連接到互聯(lián)網(wǎng)。

私有網(wǎng)絡(luò)中的郵件服務(wù)器一般情況下是唯一連接到互聯(lián)網(wǎng)的服務(wù)器,它通常有兩個網(wǎng)絡(luò)接口,一個連接互聯(lián)網(wǎng),一個連接內(nèi)部網(wǎng)絡(luò)。通過連接到互聯(lián)網(wǎng)的郵件服務(wù)器,私有網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和人員就能夠發(fā)送和接收互聯(lián)網(wǎng)電子郵件。

人們很快意識到,這些服務(wù)器實際上開辟了一條物理通道,把互聯(lián)網(wǎng)和安全的私有網(wǎng)絡(luò)連接了起來。如果攻擊者攻陷其中一臺服務(wù)器,那么他就能夠進(jìn)入私有網(wǎng)絡(luò),因為私有網(wǎng)絡(luò)中的主機與連接互聯(lián)網(wǎng)的服務(wù)器之間是連通的。因此,出于安全的考慮,需要嚴(yán)格檢查這些服務(wù)器及其網(wǎng)絡(luò)連接。于是,網(wǎng)絡(luò)運營者在這些服務(wù)器的兩側(cè)部署了防火墻,用于控制網(wǎng)絡(luò)通信,阻止?jié)撛诘墓粽邚?/p>

互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的主機,如圖 1-4 所示。發(fā)展到這一步,邊界安全模型就誕生了。內(nèi)部網(wǎng)絡(luò)變成了“安全”的網(wǎng)絡(luò),受到嚴(yán)格控制的服務(wù)器所部署的位置成為 DMZ,即隔離區(qū)。

圖 1-4 互聯(lián)網(wǎng)和私有資源都可以訪問隔離區(qū)中的主機,但是私有資源的網(wǎng)絡(luò)訪問不能超出隔離區(qū),因此不

1.2.4 NAT 的誕生

由于需要從內(nèi)部網(wǎng)絡(luò)訪問的互聯(lián)網(wǎng)資源數(shù)量快速增長,因此,給內(nèi)部網(wǎng)絡(luò)資源賦予

訪問互聯(lián)網(wǎng)的權(quán)限,要比為每個應(yīng)用維護(hù)代理主機更加容易。NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)能夠很好地解決這個問題。

RFC 1631 為網(wǎng)絡(luò)設(shè)備定義了一個標(biāo)準(zhǔn),使其能夠在組織的網(wǎng)絡(luò)邊界執(zhí)行 IP 地址轉(zhuǎn)換。通過維護(hù)一張公共 IP/端口與私有 IP/端口的映射關(guān)系表,NAT 設(shè)備能夠使私有網(wǎng)絡(luò)中的設(shè)備訪問任意的互聯(lián)網(wǎng)資源。這種輕量級的映射關(guān)系與應(yīng)用程序無關(guān),也就是說,網(wǎng)絡(luò)運營者不再為每個應(yīng)用程序單獨配置互聯(lián)網(wǎng)連接,而只需要支持私有網(wǎng)絡(luò)的通用互聯(lián)網(wǎng)連接即可。

NAT 設(shè)備有一個很有趣的特性:因為 IP 地址映射關(guān)系是多對一的,所以源自互聯(lián)網(wǎng)的連接無法訪問內(nèi)部的私有 IP 地址,除非事先在 NAT 設(shè)備上進(jìn)行專門的配置來處理這種特殊情況。因此,NAT 設(shè)備具有與狀態(tài)檢測防火墻相似的特性。事實上,防火墻設(shè)備也很快開始集成 NAT 功能,這兩個功能合二為一,基本上無法區(qū)分。這類設(shè)備既能支持網(wǎng)絡(luò)的連通功能,又能支持嚴(yán)格的安全控制,因此很快得到廣泛

應(yīng)用,幾乎每個組織的網(wǎng)絡(luò)邊界上都部署了防火墻設(shè)備,如圖 1-5 所示。

圖 1-5 簡化后的典型的邊界防火墻架構(gòu)設(shè)計

1.2.5 現(xiàn)代邊界安全模型

通過在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間部署防火墻/ NAT 設(shè)備,能夠清晰地劃分安全區(qū)域,包括組織內(nèi)部的“安全”區(qū)、隔離區(qū)和不可信區(qū)域(互聯(lián)網(wǎng))。如果一個組織的網(wǎng)絡(luò)需要與另一個組織的網(wǎng)絡(luò)互連,則只需要在兩個組織網(wǎng)絡(luò)的邊界處部署防火墻

/NAT 設(shè)備,這樣另一個組織的網(wǎng)絡(luò)就成為一個新的安全區(qū)域。然后,就像隔離區(qū)或安全區(qū)一樣,可以在邊界防火墻設(shè)備上配置特定的規(guī)則,規(guī)定不同區(qū)域之間允許或禁止哪種類型的網(wǎng)絡(luò)流量通過。

回顧過去,可以看到很明顯的進(jìn)步。我們從離線/私有網(wǎng)絡(luò)中只有個別主機能夠連接互聯(lián)網(wǎng),發(fā)展到通過在網(wǎng)絡(luò)邊界部署安全設(shè)備來建立高度互聯(lián)的網(wǎng)絡(luò)。這種進(jìn)步并不難理解,網(wǎng)絡(luò)運營者出于各種商業(yè)目的,必須讓內(nèi)部網(wǎng)絡(luò)中的服務(wù)器對互聯(lián)網(wǎng)

敞開大門,但是他們又不想失去私有網(wǎng)絡(luò)的安全性,而防火墻/NAT 設(shè)備能夠在網(wǎng)絡(luò)邊界進(jìn)行嚴(yán)密的安全控制,極大地降低了安全風(fēng)險。


??á?D?è?í??? ?ú2??éD?í????D11?¨°2è??μí3?·([?à],°£???¤?a???ü£¨Evan,Gilman£©,μà???¤°í?1£¨Doug,Barth£©)???aòa êé?à ê??á??- ?©??í?êé

零信任網(wǎng)絡(luò) 在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)

1.國內(nèi)首部介紹零信任網(wǎng)絡(luò)的專業(yè)技術(shù)圖書。

2.內(nèi)容全面豐富,是學(xué)習(xí)零信任網(wǎng)絡(luò)不可或缺的參考資料。

3.全面解析零信任網(wǎng)絡(luò)技術(shù),系統(tǒng)介紹構(gòu)建零信任網(wǎng)絡(luò)的方方面面。

保護(hù)網(wǎng)絡(luò)的邊界安全防御措施并不如人們想象中那么牢不可破。防火墻保護(hù)之下的網(wǎng)絡(luò)主機自身的安全防護(hù)非常弱,一旦“可信”網(wǎng)絡(luò)中的某個主機被攻陷,那么攻擊者很快就能以此為跳板,侵入數(shù)據(jù)中心。為解決傳統(tǒng)邊界安全模型固有的缺陷,本書為讀者介紹了零信任模型,該模型認(rèn)為整個網(wǎng)絡(luò)無論內(nèi)外都是不安全的,“可信”內(nèi)網(wǎng)中的主機面臨著與互聯(lián)網(wǎng)上的主機相同的安全威脅。

網(wǎng)頁名稱:什么是零信任網(wǎng)絡(luò)?這篇文章終于講透了
路徑分享:http://jinyejixie.com/news36/100036.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗、企業(yè)網(wǎng)站制作外貿(mào)建站、網(wǎng)站改版、網(wǎng)站策劃、網(wǎng)站營銷

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

手機網(wǎng)站建設(shè)
淮安市| 武威市| 武宁县| 抚松县| 娄烦县| 正宁县| 稻城县| 富裕县| 罗平县| 镶黄旗| 江都市| 遂溪县| 南宁市| 云阳县| 潢川县| 嘉祥县| 安仁县| 屏南县| 中方县| 秦皇岛市| 宝丰县| 乐亭县| 榆中县| 仙游县| 新巴尔虎左旗| 徐州市| 蒙自县| 会昌县| 阿克| 万源市| 吴桥县| 南溪县| 邯郸县| 隆回县| 稷山县| 高安市| 兴隆县| 瑞安市| 石首市| 宜君县| 西青区|