6月5日,云深互联CEO陈本峰受邀参加了“零信任安全十周年峰会”,此次活动中陈本峰就《NIST零信任架构SP800-207标准草案(中文版)》进行了详细解读。关于零信任陈本峰认为:“NIST发布的《零信任架构ZTA》白皮书首次提出了零信任的官方标准定义以及实践技术架构,强调零信任是个理念而不是技术,并介绍零信任理念的7个原则和5个假设,以及实现零信任架构的三大技术“SIM”:1)SDP,软件定义边界;2)IAM,身份权限管理;3)MSG,微隔离。”零信任理念的7大原则和5大假设到底是什么?本文将会进行详细阐述。
众所周知,“零信任安全十周年峰会”是由云安全联盟CSA组织发起,由云深互联、奇安信、360、联软、易安联等联合创办,并由华为、微软、腾讯、深信服等协办。除此之外,本次峰会还邀请了中国友谊促进会理事长、网信办原副主任、公安部原副部长陈智敏、工信部原副部长杨学山、中国工程院院士倪光南和邬江兴、“零信任之父”John Kindervag、“软件定义边界之父” Bob Flores、“微隔离之父” Tony Scott 作为峰会顾问。据数据统计,本次峰会吸引了一万多名观众参与。
什么是零信任?
现如今在外部威胁和内部威胁的影响下,基于边界的安全体系已经无法继续给企业提供安全保障,同时随着云计算和移动互联网日渐成熟,大部分企业已经很难确立起网络边界。传统防火墙模式保护内部重要资源的方法,随着企业上云也很难在有效果。在这种背景下就诞生了零信任理念,其目的是基于身份认证和访问控制构建企业新的“零信任”安全体系。
零信任最早是由著名的研究机构Forrester的首席分析师约翰·金德维格在2010年提出。零信任对传统的物理边界架构思想做了重新的审视,给构建新的安全架构思路提出了新的建议。零信任是一种专注于资源保护和信任的前提下的网络安全范式,永远不会被隐式授予,而必须不断进行评估。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化。
零信任原则
“零信任”的理念已经从边界模型“信任但验证”转换到“从不信任,始终验证”的模式。陈本峰认为“在基于零信任的概念的基础上,要进一步了解零信任的基本原则,才可以进行相关零信任架构的设计和部署。”零信任具体的原则有以下几点:
1、所有数据源和计算服务均被视为资源。
2、不论网络位置如何,所有的通信都是安全的。
3、按每次连接的授权基于对单个企业资源的访问权限。
4、对资源的访问由动态策略确认客户身份、应用程序和请求资产的信息,并且可能包括其他行为属性。
5、企业要确保所有拥有和关联的设备都处于最安全的状态。
6、所有资源认证和授权都是动态的,并在允许访问之前严格执行。
7、企业收集有关当前状态的网络基础架构和通信信息,并提高安全性姿势。
对于任何利用网络连接的组织,都由一些基本的网络连接假设零信任在网络规划和部署中。具体实现零信任应使用零信任原则进行开发,并遵循以下假设原则。
1、企业拥有的网络基础架构的假设
1)整个企业专业网络不被视为隐式信任区域。
2)网络上的设备可能不可由企业拥有或配置。
3)任何资源本质上都不受信任。
2、非企业拥有的网络基础结构的假设
1)并非所有企业资源都在企业拥有的基础结构上。
2)远程企业用户无法完全信任本地网络连接。
在外部威胁和内部威胁的影响下传统的物理边界正在逐渐的瓦解,零信任为构建新的安全架构提出了新的思路和建议,并且成为企业数字化转型之后受欢迎的主流安全架构之一。其“永不信任、持续验证”的特性也更能保护企业的数据资产安全,为网安的发展助力。
关键词: 陈本峰出席零信任安全十周年峰会 零信任架构 陈本峰 云深