零信任概念

2010 年,原 Forrester 副总裁兼分析师,现 Palo Alto Network CTO 兼 CSA 大中华区顾问 John Kindervag 以“永不信任,始终验证”思想提出零信任模型 Zero Trust Model,零信任概念开始得到业界关注并被广泛认可。当下,信息技术已经融入到我们日常生活中,每一个现代公民,应当了解零信任的基本概念。

定义与概念

软件定义边界 SDP

零信任 ZT

零信任 Zero Trust 这个词本身的定义,通俗易懂:在通过认证之前不信任任何人、设备、应用人、设备、应用是信息活动中、具备身份标识的主体。零信任的指导思想是永不信任,始终验证

《零信任网络: 在不可信网络中构建安全系统》一书,提出了零信任的五个基本假设(所有零信任安全解决方案都是基于这五个基本假设):

  1. 网络无时无刻不处于危险的环境中。
  2. 网络中自始至终存在外部或内部威胁。
  3. 网络的位置不足以决定网络的可信程度。
  4. 所有的设备、用户和网络流量都应当经过认证和授权。
  5. 安全策略必须是动态的,并基于尽可能多的数据源计算而来。

零信任网络 ZTN

零信任网络定义,对应到五个基本假设中的前3个。

零信任网络访问 ZTNA

零信任网络访问,是指客体(人、设备、应用)透过零信任网络,访问企业的资源。零信任网络访问的定义,对应五个基本假设的后2个。

零信任安全架构 ZTA

基于零信任理念,制定企业的安全治理架构,称为零信任安全架构 Zero Trust Architecture。 当前业界对零信任安全架构的定义,是美国国家标准技术研究所NISTNIST.SP.800-207草案中的定义:

零信任安全架构ZTA提供一系列概念、理念、组件及其交互关系,以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。

软件定义边界 Software Defined Perimeter

2013 年,云安全联盟 CSA 提出 SDP(Software Defined Perimeter)软件定义边界,成为零信任的第一个解决方案。云安全联盟 CSA 的SDP组编写并发布了SDP Spec1.0

SDP的基本原则是ABCD:

  • A: 不假设任何事(Assume nothing)
  • B: 不相信任何人(Believe nobody)
  • C: 检查所有内容(Check everything)
  • D: 阻止威胁(Defeat threats)

谷歌BeyondCorp

零信任第一个商业实现,是由谷歌完成的。

2014年开始,谷歌基于其内部项目BeyondCorp的研究成果,发表了多篇论文,阐述了谷歌如何在其内部为员工构建零信任架构。

谷歌已经将BeyondCorp的成果,孵化成为谷歌云GCP的一项云服务Beyondcorp Enterprise,开放给其他企业使用。BeyondCorp的目标是让所有员工不需要使用VPN,也能透过不受信任的网络安心处理工作

服务提供商

零信任网络接入SaaS/PaaS服务提供商

  • Akamai: Enterprise Application Access (企业应用程序访问)
  • Cato Networks: Cato Cloud (Cato 云)
  • Cisico: Duo Beyond (由思科收购)
  • CloudDeep Technology(仅限中国): DeepCloudSDP
  • CloudFlare: CloudFlare Access
  • InstaSafe: Secure Access
  • Meta Networks: Network as a Service Platform
  • New Edge: Secure Application Network
  • Okta: Okta身份云(收购ScaleFT)
  • Perimeter 81: Software Defined Perimeter
  • SAIFE: Continuum
  • 赛门铁克: Luminate
  • Verizon: Vidder Precision Access
  • Zscaler: Private Access

零信任网络接入独立软件提供商

  • BlackRidge Technology: Transport Access Control
  • Certs Networks: Zero Trust WAN
  • Cyxtera: AppGate SDP
  • Google Cloud Platform: 云身份感知代理(云IAP)
  • Microsoft: Azure AD Application Proxy
  • Pulse Secure: Pulse SDP
  • Saft-T: Software-Defined Access Suite
  • Unisys: Stealth
  • Waverley Labs: Open Source Software Defined Perimeter
  • Zentera Systems: Cloud-Over-IP(COiP) Access

Reference

Gartner-零信任架构及解决方案

cyberark

软件定义边界(SDP)和零信任

关注公众号获得更多云最佳实践