什么是零信任網(wǎng)絡?這篇文章終于講透了

2021-02-09    分類: 網(wǎng)站建設

在網(wǎng)絡監(jiān)控無處不在的時代,很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎?當然不能!我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務商,也無法信任昨天在數(shù)據(jù)中心布線的合同工?!皵?shù)據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡流量是可信的”這一假設是不正確的?,F(xiàn)代的網(wǎng)絡設計和應用模式,已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡邊界的安全防護模式逐漸失去原有的價值。因此,網(wǎng)絡邊界的安全防護一旦被突破,即使只有一臺計算機被攻陷,攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動。

零信任模型旨在解決“基于網(wǎng)絡邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡位置建立信任,而是在不依賴網(wǎng)絡傳輸層物理安全機制的前提下,有效地保護網(wǎng)絡通信和業(yè)務訪問。零信任模型并不是不切實際的設想,利用已經(jīng)成熟的加密技術和自動化系統(tǒng),這一愿景完全可以實現(xiàn)。

1.1 什么是零信任網(wǎng)絡

零信任網(wǎng)絡的概念建立在以下 5 個基本假定之上。

  • 網(wǎng)絡無時無刻不處于危險的環(huán)境中。
  • 網(wǎng)絡中自始至終存在外部或內(nèi)部威脅。
  • 網(wǎng)絡的位置不足以決定網(wǎng)絡的可信程度。
  • 所有的設備、用戶和網(wǎng)絡流量都應當經(jīng)過認證和授權。
  • 安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計算而來。

傳統(tǒng)的網(wǎng)絡安全結構把不同的網(wǎng)絡(或者單個網(wǎng)絡的一部分)劃分為不同的區(qū)域,不同區(qū)域之間使用防火墻進行隔離。每個區(qū)域都被授予某種程度的信任,它決定了哪些網(wǎng)絡資源允許被訪問。這種安全模型提供了非常強大的縱深防御能力。比如,互聯(lián)網(wǎng)可訪問的 Web 服務器等高風險的網(wǎng)絡資源,被部署在特定的區(qū)域(一般稱為“隔離區(qū)”,DMZ),該區(qū)域的網(wǎng)絡流量被嚴密監(jiān)控和嚴格控制。這是一種常見的網(wǎng)絡安全架構,如圖 1-1 所示。

圖 1-1 傳統(tǒng)的網(wǎng)絡安全架構

零信任模型徹底改變了這種安全架構。傳統(tǒng)的網(wǎng)絡分區(qū)與隔離安全模型在過去發(fā)揮了積極作用,但是現(xiàn)在卻疲于應對高級的網(wǎng)絡攻擊。傳統(tǒng)的安全模型主要有以下缺點。

需要關注的是,如果基于網(wǎng)絡位置劃分區(qū)域的需求消失了,那么對 VPN 的需求也就消失了。VPN 的作用是對用戶進行身份認證并分配 IP 地址,然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h程網(wǎng)絡,然后進行數(shù)據(jù)包的

解封裝和路由。或許人們從來沒有想過,在某種程度上,VPN 是一種不會遭人懷疑的后門。

如果網(wǎng)絡的位置對于網(wǎng)絡安全失去價值,那么諸如 VPN 等網(wǎng)絡安全設備也會失去其原有的價值。當然,這也迫使我們把安全控制的實施點盡可能地前推到網(wǎng)絡邊緣,這同時也減輕了網(wǎng)絡核心設備的安全責任。此外,大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻,交換和路由技術的進展也為在網(wǎng)絡邊緣部署高級功能創(chuàng)造了機會。將所有這些改變帶來的收益匯集在一起,得出一個結論:是時候進行網(wǎng)絡安全架構的范式轉(zhuǎn)換了。

利用分布式策略實施和應用零信任原則,可以構建如圖 1-2 所示的網(wǎng)絡安全 架構。

圖 1-2 零信任架構

零信任的控制平面

零信任架構的支撐系統(tǒng)稱為控制平面,其他部分稱為數(shù)據(jù)平面,數(shù)據(jù)平面由控制平面指揮和配置。訪問受保護資源的請求首先經(jīng)過控制平面處理,包括設備和用戶的身份認證與授權。細粒度的控制策略也在這一層進行,控制平面可以基于組織中的角色、時間或設備類型進行授權。如果用戶需要訪問安全等級更高的資源,那么就需要執(zhí)行更高強度的認證。

一旦控制平面完成檢查,確定該請求具備合法的授權,它就會動態(tài)配置數(shù)據(jù)平面,接收來自該客戶端(且僅限該客戶端)的訪問流量。此外,控制平面還能夠為訪問請求者和被訪問的資源協(xié)調(diào)配置加密隧道的具體參數(shù),包括一次性的臨時憑證、密鑰和臨時端口號等。

雖然上述措施的安全強度有強弱之分,但基本的處理原則是不變的,即由一個權威的、可信的第三方基于多種輸入來執(zhí)行認證、授權、實時的訪問控制等操作。

1.2 邊界安全模型的演進

本書提到的傳統(tǒng)安全架構通常是指“邊界安全模型”。該模型的基本思想與物理世界中通過修建城墻來保護城堡一樣,是通過構建層層防線來保護網(wǎng)絡中的敏感資源。入侵者必須穿透這些防線,才能夠訪問敏感資源。遺憾的是,這種做法在計算機網(wǎng)絡場景下存在根本性的缺陷,實質(zhì)上無法保證敏感資源的安全性。為了充分理解這種缺陷,有必要回顧一下邊界安全模型出現(xiàn)的原因及其發(fā)展歷程。

1.2.1 管理全球 IP 地址空間

導致邊界安全模型出現(xiàn)的原因要從互聯(lián)網(wǎng)的 IP 地址分配開始說起。在互聯(lián)網(wǎng)發(fā)展的早期,越來越多的網(wǎng)絡連接在一起。在那個年代,互聯(lián)網(wǎng)還沒有大規(guī)模普及,一個網(wǎng)絡可能是連接到互聯(lián)網(wǎng),也可能是與其他業(yè)務部門、公司或是某個研究機構的網(wǎng)絡相連。當然,在任何 IP 網(wǎng)絡中,IP 地址都必須是唯一的。如果不同網(wǎng)絡的運營者使用了重疊的 IP 地址空間,那么他們必須花費很大的力氣進行修改。如果正在連接的網(wǎng)絡恰好是互聯(lián)網(wǎng),那么 IP 地址必須是全球唯一的。很顯然,網(wǎng)絡的 IP地址分配必須通過統(tǒng)一的協(xié)調(diào)。

互聯(lián)網(wǎng)號碼分配機構(Internet Assigned Numbers Authority,IANA)于 1998 年正式成立,直到今天 IANA 仍然是 IP 地址分配的協(xié)調(diào)機構。在 IANA 成立之前, IP 地址分配和協(xié)調(diào)的職責是由 Jon Postel 來承擔的,他繪制了如圖 1-3 所示的互聯(lián)網(wǎng)地圖。Jon 是 IP 地址所有權記錄的權威來源,如果你想確保自己的 IP地址是全球唯一的,那么就需要到他這里注冊。在那個時代,即使網(wǎng)絡暫時不

需要連接到互聯(lián)網(wǎng),也鼓勵人們?yōu)槠渥?IP 地址,因為說不定哪天這個網(wǎng)絡就

圖 1-3 Jon Postel 于 1982 年 2 月繪制的互聯(lián)網(wǎng)早期地圖

1.2.2 私有 IP 地址空間的誕生

20 世紀 80 年代末和 20 世紀 90 年代初,隨著 IP 網(wǎng)絡技術的應用范圍越來越廣,隨意使用 IP 地址空間成為一個嚴重的問題。許多網(wǎng)絡雖然事實上與互聯(lián)網(wǎng)隔離,但是卻有很大的 IP 地址空間需求,連接 ATM 的網(wǎng)絡、連接大型機場航班信息顯示屏的網(wǎng)絡等,都是典型的例子。出于各種原因,這些網(wǎng)絡的確需要與互聯(lián)網(wǎng)隔離,

有的設備因為需要滿足安全或隱私的要求而與互聯(lián)網(wǎng)隔離(如 ATM);有的設備功能非常有限,通過網(wǎng)絡大規(guī)模地連接起來意義不大(如機場的航班信息顯示屏)。

于是,私有互聯(lián)網(wǎng)地址分配標準——RFC 1597 誕生了,其目的是解決大量公共 IP地址空間的浪費問題。

1994 年 3 月,RFC 1597 宣布 IANA 為私有網(wǎng)絡保留 3 個 IP 地址范圍:10.0.0.0/8、 172.16.0.0/12 和 192.168.0.0/16。這樣可以確保大型私有網(wǎng)絡的地址空間不會超出分配的范圍,從而減緩公共 IP 地址空間的消耗,也使得網(wǎng)絡運營者能夠在適當?shù)臅r候使用非全球唯一的 IP 地址。此外,私有 IP 地址空間的使用還產(chǎn)生了另外一個效果,而且直到今天仍然在發(fā)揮作用——使用私有地址空間的網(wǎng)絡更加安全,因為這些網(wǎng)絡無法連接到其他網(wǎng)絡,特別是連接到互聯(lián)網(wǎng)。

在那個年代,連接到互聯(lián)網(wǎng)的組織相對來說比較少,因此,內(nèi)部網(wǎng)絡經(jīng)常使用保留的私有網(wǎng)絡地址空間。另外,網(wǎng)絡的安全防護措施也非常弱,甚至完全沒有,因為這些網(wǎng)絡在物理上通常位于一個組織的內(nèi)部,攻擊者很難接觸到。

1.2.3 私有網(wǎng)絡連接到公共網(wǎng)絡

互聯(lián)網(wǎng)應用的發(fā)展非常迅速,很快大多數(shù)組織都希望以某種方式出現(xiàn)在互聯(lián)網(wǎng)上。電子郵件就是較早的互聯(lián)網(wǎng)應用之一。人們希望能夠發(fā)送和接收電子郵件,這就意味著他們需要一個可公開訪問的郵件服務器,也意味著他們需要以某種方式連接到互聯(lián)網(wǎng)。

私有網(wǎng)絡中的郵件服務器一般情況下是唯一連接到互聯(lián)網(wǎng)的服務器,它通常有兩個網(wǎng)絡接口,一個連接互聯(lián)網(wǎng),一個連接內(nèi)部網(wǎng)絡。通過連接到互聯(lián)網(wǎng)的郵件服務器,私有網(wǎng)絡內(nèi)部的系統(tǒng)和人員就能夠發(fā)送和接收互聯(lián)網(wǎng)電子郵件。

人們很快意識到,這些服務器實際上開辟了一條物理通道,把互聯(lián)網(wǎng)和安全的私有網(wǎng)絡連接了起來。如果攻擊者攻陷其中一臺服務器,那么他就能夠進入私有網(wǎng)絡,因為私有網(wǎng)絡中的主機與連接互聯(lián)網(wǎng)的服務器之間是連通的。因此,出于安全的考慮,需要嚴格檢查這些服務器及其網(wǎng)絡連接。于是,網(wǎng)絡運營者在這些服務器的兩側(cè)部署了防火墻,用于控制網(wǎng)絡通信,阻止?jié)撛诘墓粽邚?/p>

互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng)絡的主機,如圖 1-4 所示。發(fā)展到這一步,邊界安全模型就誕生了。內(nèi)部網(wǎng)絡變成了“安全”的網(wǎng)絡,受到嚴格控制的服務器所部署的位置成為 DMZ,即隔離區(qū)。

圖 1-4 互聯(lián)網(wǎng)和私有資源都可以訪問隔離區(qū)中的主機,但是私有資源的網(wǎng)絡訪問不能超出隔離區(qū),因此不

1.2.4 NAT 的誕生

由于需要從內(nèi)部網(wǎng)絡訪問的互聯(lián)網(wǎng)資源數(shù)量快速增長,因此,給內(nèi)部網(wǎng)絡資源賦予

訪問互聯(lián)網(wǎng)的權限,要比為每個應用維護代理主機更加容易。NAT(網(wǎng)絡地址轉(zhuǎn)換)能夠很好地解決這個問題。

RFC 1631 為網(wǎng)絡設備定義了一個標準,使其能夠在組織的網(wǎng)絡邊界執(zhí)行 IP 地址轉(zhuǎn)換。通過維護一張公共 IP/端口與私有 IP/端口的映射關系表,NAT 設備能夠使私有網(wǎng)絡中的設備訪問任意的互聯(lián)網(wǎng)資源。這種輕量級的映射關系與應用程序無關,也就是說,網(wǎng)絡運營者不再為每個應用程序單獨配置互聯(lián)網(wǎng)連接,而只需要支持私有網(wǎng)絡的通用互聯(lián)網(wǎng)連接即可。

NAT 設備有一個很有趣的特性:因為 IP 地址映射關系是多對一的,所以源自互聯(lián)網(wǎng)的連接無法訪問內(nèi)部的私有 IP 地址,除非事先在 NAT 設備上進行專門的配置來處理這種特殊情況。因此,NAT 設備具有與狀態(tài)檢測防火墻相似的特性。事實上,防火墻設備也很快開始集成 NAT 功能,這兩個功能合二為一,基本上無法區(qū)分。這類設備既能支持網(wǎng)絡的連通功能,又能支持嚴格的安全控制,因此很快得到廣泛

應用,幾乎每個組織的網(wǎng)絡邊界上都部署了防火墻設備,如圖 1-5 所示。

圖 1-5 簡化后的典型的邊界防火墻架構設計

1.2.5 現(xiàn)代邊界安全模型

通過在內(nèi)部網(wǎng)絡和互聯(lián)網(wǎng)之間部署防火墻/ NAT 設備,能夠清晰地劃分安全區(qū)域,包括組織內(nèi)部的“安全”區(qū)、隔離區(qū)和不可信區(qū)域(互聯(lián)網(wǎng))。如果一個組織的網(wǎng)絡需要與另一個組織的網(wǎng)絡互連,則只需要在兩個組織網(wǎng)絡的邊界處部署防火墻

/NAT 設備,這樣另一個組織的網(wǎng)絡就成為一個新的安全區(qū)域。然后,就像隔離區(qū)或安全區(qū)一樣,可以在邊界防火墻設備上配置特定的規(guī)則,規(guī)定不同區(qū)域之間允許或禁止哪種類型的網(wǎng)絡流量通過。

回顧過去,可以看到很明顯的進步。我們從離線/私有網(wǎng)絡中只有個別主機能夠連接互聯(lián)網(wǎng),發(fā)展到通過在網(wǎng)絡邊界部署安全設備來建立高度互聯(lián)的網(wǎng)絡。這種進步并不難理解,網(wǎng)絡運營者出于各種商業(yè)目的,必須讓內(nèi)部網(wǎng)絡中的服務器對互聯(lián)網(wǎng)

敞開大門,但是他們又不想失去私有網(wǎng)絡的安全性,而防火墻/NAT 設備能夠在網(wǎng)絡邊界進行嚴密的安全控制,極大地降低了安全風險。


??á?D?è?í??? ?ú2??éD?í????D11?¨°2è??μí3?·([?à],°£???¤?a???ü£¨Evan,Gilman£©,μà???¤°í?1£¨Doug,Barth£©)???aòa êé?à ê??á??- ?©??í?êé

零信任網(wǎng)絡 在不可信網(wǎng)絡中構建安全系統(tǒng)

1.國內(nèi)首部介紹零信任網(wǎng)絡的專業(yè)技術圖書。

2.內(nèi)容全面豐富,是學習零信任網(wǎng)絡不可或缺的參考資料。

3.全面解析零信任網(wǎng)絡技術,系統(tǒng)介紹構建零信任網(wǎng)絡的方方面面。

保護網(wǎng)絡的邊界安全防御措施并不如人們想象中那么牢不可破。防火墻保護之下的網(wǎng)絡主機自身的安全防護非常弱,一旦“可信”網(wǎng)絡中的某個主機被攻陷,那么攻擊者很快就能以此為跳板,侵入數(shù)據(jù)中心。為解決傳統(tǒng)邊界安全模型固有的缺陷,本書為讀者介紹了零信任模型,該模型認為整個網(wǎng)絡無論內(nèi)外都是不安全的,“可信”內(nèi)網(wǎng)中的主機面臨著與互聯(lián)網(wǎng)上的主機相同的安全威脅。

文章題目:什么是零信任網(wǎng)絡?這篇文章終于講透了
網(wǎng)頁鏈接:http://www.bm7419.com/news/100036.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供Google、電子商務、外貿(mào)網(wǎng)站建設、網(wǎng)站排名網(wǎng)站導航、微信公眾號

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

h5響應式網(wǎng)站建設