探讨了零信用的历史及演变过程
|
在Gartner的研究中, Steve Riley是该分析师的其中之一。当时还出现了云安全联盟(CSA)的“软件定义边界”和谷歌的BeyondCorp(最初是在2009年更早时候为响应Operation Aurora而创建的)。这些与Gartner研究的“持续自适应信任”有相似之处,“零”只是个起点。 1.什么是零信任? “‘零信任’这个词现在被用滥了,以至于它几乎失去了意义,”Riley告诉SecurityWeek网站。 虽然零信任可以应用于其他方面,比如零信任电子邮件访问(ZTEA)或零信任数据访问(ZTDA),但这可能是未来的事情。在这里,我们侧重于ZTNA/ZTAA。按照Riley的定义,它包括持续自适应风险和信任评估,作为一种实用的折衷方案,在不影响可用性的情况下提供最大的安全性。 2.信任代理扮演的角色 ZTNA的一个关键概念是信任代理(trust broker)角色。信任代理位于网络外部,为经过身份验证的用户提供合适的信任级别,以访问特定的应用程序。这种方法有众多用途。 代理可以检查设备的健康状况、地理位置和用户的其他行为生物特征。它生成信任分数。如果用户的信任分数对于用户指定的应用程序来说足够高,就通过授权代理向所有用户自动地授予相应的权限。 这一点很关键——用户只被允许访问指定的应用程序。任何用户想要访问不同应用程序,都需要重新验证身份才能访问该应用程序,身份验证要求可能有所不同。这防止了网络内的横向移动,无论实施者是员工还是攻击者。 3.您能拥有真正的零信任吗? 理解零信任概念的困难之一是每个人都知道零信任和可用性水火不容。保证零信任的唯一方法是拔掉计算机电源,将其包裹在六英尺厚的铅衬混凝土中,然后将其放入深海中。但这阻碍了可用性。 第二个潜在的弱点是代利。如果代理受到威胁,那么攻击者就能访问所选择的应用程序。这是Riley在他还在Gartner开始研究ZTNA概念时担心的问题。他的结论是,代理仍然是外部访问的最佳选择。替代方案是依靠公司网络和互联网之间的防火墙(我们知道这不起作用),或者使用VPN。但是,如果你想要访问外部网络,你可以通过一个简单的方法来实现。那就是使用vpn。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
