搜索 收起
您的位置  > 互联网

基于网络区域边界构建企业安全架构的三个维度

chanong 发布于 2024-02-04 20:01:08 阅读()

了解零信任的三个维度

近年来,零信任一直是安全行业最热门的技术之一。 不过,业界对零信任的理解存在分歧。 部分认识还停留在思想观念层面。 在技​​术交流中常常缺乏对技术框架的统一认识。 存在沟通不畅的情况。 我们从零信任理念出发,进一步进行了深入的研究和思考,形成了零信任的整体框架,包括零信任理念、零信任架构标准、零信任解决方案三个维度。

1.零信任思维。 尽管国内外主要咨询机构如对零信任的描述是,设备/网络流量/应用程序应该经过身份验证,并且需要最少的授权; 安全策略应该从静态演变为动态,并基于尽可能多的信任因素来确定,即“从不信任,总是验证”。

2. 零信任架构标准。 目前,美国政府、军方等已发布正式标准,我国国家标准草案也已出炉。 目前业界认可度最高的是-207,它定义了零信任安全架构完整实施的衡量标准。

3. 零信任解决方案。 实现零信任安全架构的核心包括两个核心组件:安全控制中心和代理网关。 首先,安全控制中心连接终端、网络等信息安全组件,构建统一的安全控制平面; 第二,通过安全网关,网络层实现数据转发平面的动态授权。

图 零信任安全架构

注:安全控制中心(图①)作为安全控制平面的计算点,实现业务访问的端到端多维度信任评估,并指导可信代理网关(图②)进行实时评估。时间评估结果在网络层实现动态授予资源访问权限。

零信任解决方案

业界已经实施的零信任解决方案可以分为两类。 一种是侧重于增强边界安全防护的SDP(软件定义边界)解决方案,另一种侧重于加强内部应用之间的访问控制(差异安全)。 部分)解决方案。

1.SDP解决方案。 通过在网络边界部署代理网关和相应的策略控制中心,为外部网络到内部网络的边界业务数据提供访问安全控制。 从实现方式来看,代理网关有两种不同的形式:软件形式和硬件专用设备形式。 软件形态部署灵活,硬件形态转发能力强。 一般情况下,根据场景的实际需要,选择合理的软件或硬件实现方案进行部署。 。 以远程办公场景为例。 传统远程办公场景中最大的安全风险是SSL-VPN始终暴露在互联网上。 一旦黑客成功利用SSL-VPN的安全漏洞,流量将绕过部署在 DMZ分区中的各种设备。 此类安全监控设备直接侵入企业内网的各种办公系统。 零信任SDP解决方案首先通过代理网关实现SPA(单包认证)功能。 采用先身份认证后网络连接的机制,隐藏远程办公对外暴露的服务; 其次,它实现了应用粒度的精度。 按需开放访问需求,解决了VPN只能提供基于网段或IP地址的粗粒度授权的问题,整体降低了传统远程办公场景的安全风险。

2.解决方案。 通过在内网区域部署集中式或分布式的代理网关和控制中心,为资产提供应用之间的细粒度隔离,改善了企业内网网络分区粗糙、大量未授权访问控制松散的现状。 实现方式目前分为三个技术流派:SDN网络微分段、主机微分段、容器微分段。

SDN网络微分段是基于SDN网络的微分段技术解决方案。 SDN的结构天然支持控制与执行的解耦。 SDN控制器作为微分段控制中心,叶子交换机作为代理网关。 它利用VxLAN和SDN专用设备等网络技术的结合,对网络空间内的主机进行分组,并使用网络协议的特定字​​段来识别和区分它们。 VLAN/VxLAN更细粒度的访问控制。

主机微分段是基于主机的微分段解决方案。 它通过在应用端植入轻量级Agent、管理系统防火墙、收集用户态网络连接信息,实现工作负载级别的细粒度访问控制。 主机微分段由两部分组成:作为零信任控制中心的可视化控制台和作为应用级代理网关的轻量级Agent。 控制台负责汇总和显示,Agent负责采集和控制。 与SDN网络微分段不同,主机微分段采用纯软件实现,不依赖任何硬件设备,这使得其能够更好地适应各种类型和规模的基础环境,例如缺乏SDN的传统网络、IaaS-+ PaaS混合环境等,具有更好的实用性和灵活性。

云原生微分段是PaaS容器环境下的微分段解决方案。 通过K8S+,实现了基于“定制代理”的分布式微服务访问关系管控。 它使用表单在每个Pod中部署一个代理容器作为所有微服务的统一网络入口和出口,管理所有通信和安全功能。 K8S的分布式定制代理和统一管理面对应零信任的“代理网关”和“控制中心”,实现容器化的微分段,为部分金融行业向微服务的数字化转型提供额外的安全保障。 保证。

这三类微细分各有特点,其结构、支撑、改造难度等方面的对比表如下。

表3 三种微细分的比较

与SDP相比,微观细分在国内金融行业的实施仍处于起步阶段。 由于各种微细分方案在适用性和实施​​成本方面都存在一定的局限性,配置复杂、维护成本高、实施难度大,目前在金融行业实施的较少; 企业内网现有大量资产难以人工梳理,关系访问困难。 主机微细分可以通过自学习梳理业务关系,构建应用间访问基线并根据需要进行强化。 但由于Agent安装涉及所有设备,可能会出现兼容性问题; 而K8S+ Mesh云原生微服务仅适用于PaaS云环境。 对于环境复杂的大型金融企业来说,除了PaaS云环境外,还有大量的应用部署在传统环境和IaaS云平台中。 传统、IaaS、PaaS需要建立零信任,目前还没有有效的相互访问控制解决方案。

目前,工行已从国内外成熟解决方案、金融行业成功案例、开源工具二次开发等入手,利用各种基础环境,对银行微观细分前景进行了相关研究。对银行的IaaS和PaaS等进行全面的研究。 探索了该导向的适用性,并在内网测试环境中进行了相关试点。

总结

一方面,实现完整的零信任安全架构需要在现有网络安全框架的基础上平滑演进。 另一方面,从前期规划到后期运维各个阶段都投入大量的人力、物力,需要企业高层的重视和大力支持。 在此过程中,运维人员必须完成网络架构映射、梳理资产访问关系、与现有安全系统对接。 运营阶段还必须建立专业的支持团队,在兼顾业务的同时不断优化授权策略。 同时,开发人员也必须在新的IT架构下优化流程,业务人员也必须适应其带来的业务流程的变化。 对于企业来说,需要深入了解零信任的三个维度,才能利用好零信任,解决数字化转型带来的安全风险。

此外,零信任安全架构需要与可信计算紧密结合。 企业应通过基于“硬件-操作系统-终端-应用”垂直信任的零信任架构,建立“用户-网络-主机-应用”关系。 水平信任链可以让最初的信任传递到末端,保证完整的端到端安全。

更多前沿趋势和观点,请访问数字金融创新知识服务平台金科创新社官网。

标签:
打赏 点赞( )

相关文章