云山雾隐 端隐SDP

什么是零信任访问
(Zero Trust Access) ?

什么是零信任 云山雾隐

背景

目前,大部分中小企业还未采购系统化的网络安全产品,部分大中型企业还是采用传统的网络隔离安全模型,采购专用设备构建物理边界。

随着云计算、SaaS服务、IOT的发展,越来越多的企业拥抱了新技术,同时其网络呈现出复杂化和无边界化的趋势,传统的基于物理边界的方式越来越难以适应企业发展的需求。

复杂化

网络拓扑复杂化,如EDR、DLP、IDPS、防火墙、WAF等设备越来越多;

业务设施复杂化,ERP、CRM、MIS、HRM等系统越来越多;

业务场景复杂化,远程办公、移动办公、协同办公等多种办公方式并存;

网络攻击复杂化,网络攻击的方式和源头日渐多样化。

无边界化

IT 设备无边界化,如移动设备、外部设备、自带设备(BYOD)充斥在企业网络中;

办公环境无边界化,如总部、异地、分支机构,弹性的组织机构很难构建物理边界;

网络架构无边界化,本地应用、SaaS服务、第三方服务,多个虚拟子网等让网络边界很难界定;

人员架构无边界化,如外包人员、兼职、上下游合作伙伴等多方协作也使得人员架构无边界化。

零信任安全访问

为适应新的环境,零信任安全访问模型被提出,零信任是一种以资源保护为核心的网络安全范式,其核心思想是:默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证,将企业资源安全由传统的基于物理边界为核心转为以身份为核心。

零信任安全访问架构及组件

零信任模型并不是由单一产品构成,而是由多个产品组件构成,我们根据业内主流的观点总结的零信任安全访问架构如下:

采用零信任的优势

在零信任模式下,“永不信任,始终验证”的理念带来了以下的优势:

安全可信度更高:因为访问主体-安全策略-企业资源构成的信任链条环环相扣,如果中间状态发生任何改变,会更容易被发现和检测;

动态防护能力更强:每一次对资源的请求,都是一次重新校验的过程,安全是动态的,而检测也是动态的,如果发生异常可以迅速感知并阻断;

除此之外还有诸如全链路加密、分析能力增强、访问集中管控、资产管理方便等优点。

零信任的发展

“零信任”一词于2010年首次被提出,2019年,工信部将“零信任安全”列入网络安全需要突破的关键,2021年,美国国家安全局发布零信任安全模型指南,知名IT咨询机构Gartner预测,2022年,面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络访问进行访问。2023年,60%的企业将淘汰大部分VPN(远程访问虚拟专用网络),转而使用零信任网络访问。

2010

Forrster正式使用“零信任”

2014

CSA SDP规范1.0发布

Google 发布BeyondCorp论文

2019

Gartner发布零信任网络,
融合SDP安全模型

2019

工信部将“零信任安全”列入网络安全需要突破的关键

2021

美国国家安全局发布零信任安全模型指南