被市场模糊化的零信任,现在又开始浮出水面,进一步结合了市场零信任的需求

零信任到底是一个什么类型的模型?什么类型的思想或思路,它是如何实现的,我们要做零信任,需要考虑哪些问题?

    零信任最早是约翰金德瓦格提出的安全模型。早期这个模型也是因为在安全研究上考虑的一个新的信任式模型。他最主要的宗旨是在于防止数据滥用,破坏,泄露的安全策略。

    所以从当前我们描述的情况来看,它并不是一个产品,这也是为什么今天要讲的一个话题,因为市面上大家都在推零信任产品。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科被市场模糊化的零信任,现在又开始浮出水面,进一步结合了市场零信任的需求

    零信任在十几年前被提出到gartner(ps:美国已经在全面落地),直接在未来的发展趋势上进行了明确的提出和延伸,这个也是基于当前模糊化边界,或是边界消亡以及新的一些应用场景的产生,包括byod ,IoT,云计算,远程办公等等。在当前全世界疫情的阶段,零信任的安全模型已被广泛的远程办公解决方案所覆盖。

    我们对于零信任模型的落地情况可以做一个了解,针对于当前零信任的应用,我们也可以说是确保了只有在正确的环境下,正确的人或者是资源,才能通过正常的途径,在正确设备上,对资源和数据服务进行正确的访问。零信任从当前我们所说的这种方式也就避免了,网络攻击者在进入内部网络环境之后的平行移动攻击!

    我们当前在从安全的角度对内部的行为进行控制,综合来说是一个大方案,从现有的网络,到我们后端的一些资源服务,最终都是靠一个访问控制的方式来进行逐层的管理。那在这里我们就可以得出并非网络可用不可用的问题,而是在访问控制上如何管理。当然,如果我们一刀切的方式也可以实现安全的有效管控,但对于业务的灵活性,就会造成很大的风险,所以这也是为什么会出现零信任模型,在可用的基础上来增加访问控制的力度,持续验证,保证数据的安全性以及访问的安全性。

    另外我们从访问的内容上,也可以做一个维度分析,针对不同的目标,我们可以在零信任模型上进行策略的定制和优化,根据访问内容的敏感重要程度制定策略!

图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科被市场模糊化的零信任,现在又开始浮出水面,进一步结合了市场零信任的需求

    第一,定义保护面,也就是要保护什么内。

    第二,定义工作方式及流程,业务流程如何协同工作?

    第三,构建环境,控制措施尽可能靠近保护面,以边定义为边界,缩小保护范围,减少安全难度。

    第四,创建零信任的策略通过5W 1H的分析方法,建立安全策略。

    第五,验证零信任策略落地情况,并进行持续监控以及维护环境配置。在这里我们可以通过一些人工智能继续学习以及大数据分析的方式,来确保当前的实施可视化,效果可视化,并对已知的已发现的一些问题进行快速响应和优化。

    1〕零信任策略并不是一个一成不变的,一方面他要根据业务环境的变化而调整,第二方面策略本身也要从当前攻击面的不同而变化,他是一个增量型的趋势!

    2〕零信任在保护面上,首次我们要尽量选取非重要数据,非敏感环节内容。其目的也是为了尽量减少用户业务侧的干扰,并同时建立相应的一些安全策略或模型,更有效的方便于后期对核心数据进行零信任模型的落地。

对于您信任,我们可以用今年的一句话总结,那就是:永不信任,持续验证。

来源:安全壹壹肆公众号

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容