关于网络安全行业中的新词很多用户都还不是很了解,例如零信任的三大技术指的是什么,很多用户就不了解包含哪三大技术,接下来就跟着小编一起来了解下。
1、软件定义边界(SDP)
软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。安全狗零信任SDP接入解决方案基于“以身份认证为中心,以信任为基础,持续动态授权认证”的理念,打造企业全方位立体业务访问安全体系。
SDP可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。 当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问 根据云安全联盟的定义,SDP 的主要组件包括发起主机(客户端),接受主机(服务端)和 SDP 控制器,客户端和服务端都会连接到这些控制器。
SDP七个主要功能特点
网络隐身
利用安全接入网关单包授权认证,收敛隐藏企业服务资源(IP、端口),以及零信任控制中心、安全网关的端口,减小暴露面,防扫描,防DDos攻击。
统一接入
支持TCP/UDP以上协议的企业Web服务、API服务、数据服务及API级别的的统一接入、反向代理、流量卸载、协议检测、协议转换、灰度发布、熔断机制。
最小授权
基于身份进行细粒度的访问控制,只赋予用户完成特定工作所需的最小访问权限,以应对越来越严峻的越权横向移动风险。
实时认证
登录时的身份验证,登录后访问业务系统过程中,也会对每个请求进行实时检测、威胁定级、或者再次发起身份认证。
持续评估
用户访问过程中,持续采集用户终端的系统风险、网络环境,持续对用户信任等级进行评分。
动态策略
根据用户的登陆习惯变化(如时间、地理位置、网络等),并结合终端检测分析及用户访问行为,动态调整用户授权策略。
服务隔离
业务服务间访问流量采集、业务访问关系拓扑图绘制、业务访问控制策略管理、流量日志审计。
2、身份识别与访问管理(IAM)
Gartner 将IAM 定义为一种安全规则:“让对的人在对的时间以对的理由访问对的资源。”IAM 是一种IT 解决方案,使用身份这种唯一用户配置文件管理用户并将用户安全连接到 IT 资源,包括设备、应用、文件、网络等。每个用户都能配置一个唯一的身份,从而控制对WiFi和企业服务器等资源的访问,同时限制其访问工作内容以外的数字资产。
身份识别与管理是零信任最核心的部分,身份管理本身就是网络安全领域中的一个细分方向,用户系统中往往有不止一个身份管理系统,因此零信任系统要解决系统中多个身份管理系统的协同,实现“身份管理系统联邦”。IAM的身份管理不仅是人的身份管理,还包括设备、应用的身份管理;IAM产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何访问,访问后可以执行哪些操作。
IAM的核心主要几个方向:
认证:通过确认实体(包含人与设备等)的身份,建立信任,其中包括多因素认证等。
访问控制:确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。
身份治理:对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。
特权身份管理:是对管理员等权限较高的账户等进行进一步管理。
对身份认证相关协议的支持与各 IAM 系统的对接,技术难度不大,更多是工程工作量,更大的难度是在如何协调一个组织现有的多个 IT 系统中不同的身份管理系统,如何实现“身份管理系统联邦”。
身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险,身份管理为所有用户,应用程序和数据启用并保护数字身份。
3、 微隔离(MSG)
安全狗微隔离系统基于CWPP技术方案的自适应微隔离系统,为企业提供对数据中心、云环境主机制可视化管理,可根据可视化的业务拓扑,对主机进行全方位的防护策略管理,控制业务流量访问。
微隔离是 Gartner在2015 年提出的概念,经历了软件定义的隔离(软件定义的分段,software-defined segmentation)、Micro Segmentation,也就是我们现在所熟知的微隔离(微分段),再到2020年的 ID-BASED SEGMENTATION,基于身份的隔离(基于身份的网络分段)。
微隔离是一种网络安全技术,微隔离的实现方式是将数据中心内部所有的业务按照特定的原则划分为数个微小的网络节点,根据动态策略分析对这些节点执行访问控制,在逻辑上将这些节点隔离开,限制用户横向移动,这就是微隔离。
在微隔离的架构中,不再存在内、外网的概念,而是将数据中心网络隔离成了很多微小的计算单元,这里简称节点。每个节点要访问其他节点的资源,都需要经过微隔离客户端的认证,如果节点身份认证不通过,或不具备访问权限,会被客户端拦截。
节点可以是门户网站,可以是数据库、审计设备,甚至一个文件服务器,只要具备一定的数据处理能力的单元,都可以成为一个节点。他们不再因处于内网而被认为是“可信的”,所有节点都被逻辑隔离,节点之间的访问都是受控的。节点划分越细致,控制中心对整个数据中心网络的流量可视化就越清晰。
微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。此外,微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。
当前微隔离方案主要有三种技术路线,分别是主机代理微隔离、云原生微隔离以及第三方对接(API)微隔离,其中主机代理(agent插件)微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
以下是三种主流技术路线的详细介绍:
(1) 基于agent客户端实现微隔离。
这种模式需要每个服务器的操作系统上装一个agent。Agent调用主机自身的防火墙或内核自定义防火墙来做服务器间的访问控制。这种模式就是NIST的用微隔离实现零信任的模式。
优势:与底层无关,支持容器,支持多云。
缺点:必须在每个服务器上安装agent客户端。会担心资源占用问题,担心影响现有业务。
(2)基于云原生能力实现微隔离。
使用云平台基础架构中虚拟化设备自身的防火墙功能来做访问控制。这种在虚拟化平台提供者中比较常见,在虚拟化平台、laas、hypervisor或者基础设施中提供,比如阿里云、VMware NSX等。
优点:隔离功能与基础架构都是云提供的,所以两者兼容性更好,操作界面也类似。
缺点:无法跨越多个云环境进行统一管控。
(3)基于第三方防火墙实现微隔离。
主要是基于第三方防火墙供应商提供的虚拟化防火墙。这种方案的优势在于具备丰富的安全能力,如:入侵检测、防病毒等功能,能集成IPS、av等功能,与防火墙配置逻辑一致,普遍支持自动化编排。
优势:网络人员很熟悉,有入侵检测、防病毒等功能。
但劣势也很明显,需要与虚拟化平台做对接,费用高,且有性能损耗。