企业建设零信任体系的核心思路
根据安全牛的调查研究发现,零信任安全理念已经较广泛得到国内各类型企业用户的认可,组织对应用零信任进行网络安全建设已经初具信心,零信任理念对网络安全防护工作的价值开始多方面的展现。
企业开展零信任网络建设的需求和驱动因素
本次调查数据显示,有 86.3%的受访企业表示已经开始或计划开展零信任安全建设,其最大驱动因素为数字化业务发展需要,而网络访问环境变化 、网络安全事件和合规要求也是推动零信任安全建设的主要驱动因素。
企业开展零信任网络建设的主要方式
本次调查发现,我国企业在开展零信任安全建设时更多会选择循序渐近的部署方式,其中 34.5%的受访者表示会首先以试点方式进行建设;有 24.2%是基于现安全网络进行升级或改造,但其中 20.7%的企业会首先进行局部改造,仅有 3.5%的企业会进行全面改造。
零信任方案的整合至关重要
2024 年,企业将部署更多的零信任产品,不同的零信任产品方案之间、零信任与原有的网络安全架构、业务应用之间的全面整合和协同运行将成为企业必须面对的新挑战。
一方面,当下企业选择零信任主要解决数据中心网络安全接入的问题,但随着企业云计算使用规模逐步提升,安全边界的粒度逐步细化,安全风险不再以网络分隔出的安全域为维度划分,而是以访问的业务为维度进行划分,仅解决网络安全接入并不能满足业务安全需求,需要贴合业务的身份以解决业务访问全链路的风险,从而缓解整个企业网络的安全问题。另一方面,安全本身在企业中是一种横向的能力,集成的、聚合的安全能力可形成平台化的、中台化的产物,基于零信任理念的架构性平台可在身份安全、终端安全、数据安全、网络环境安全、工作负载安全等方面提供全方位的防护。
在零信任产品全面整合和协同运行的背景下,芯盾时代已实现 SDP+IAM 方案的充分融合,有效解决各种业务场景下的用户敏感数据访问风险,避免由于内部工作人员违规操作导致的风险事件,助力客户构建智能、安全、可信的互联未来。
建立统一基础设施的策略管理
统一基础设施的策略管理,弥补零信任网络访问与微隔离在物理拼接后留下的防护断层,是零信任技术发展的一大趋势。
物理式拼接容易留下潜在安全威胁,例如业务通过零信任网关对外暴露时,Web 服务对外暴露,但后端数据库不对外暴露,所有从外部访问 Web 的流量受零信任网关上相应策略的管控,此处需设计一套面向南北向流量的管控策略,Web 服务与后端数据库通过微隔离进行网络微分段,数据库工作负载需设置限制,仅允许从 Web 服务过来的流量通行,此处需设计一套面向东西向流量的策略。一旦任意工作负载发生变化,两套策略需要同时修改,否则将留下防护断层,未来,为解决上述问题,应统一基础设施的流量策略,通过使用一套策略对全网流量进行管理。
通过应用改造实现身份信息“穿透”业务访问全程
未来,将通过应用改造实现身份信息“穿透”业务访问全程。
当下应用访问过程中的身份调用是中断的,例如当用户通过零信任网关访问某应用时,前端应用可以识别访问主体的身份,当应用调用后端数据库时,会建立新的会话连接,数据库视角所见是应用在进行服务调用,此时访问过程中的身份调用已中断。零信任架构下应用应携带访问主体的身份信息对数据库发起访问,数据库的策略决策点将基于身份进行权限和执行策略的判定,默认不信任前端应用诸如前端应用、后端数据库等检控点都应具备策略执行能力,因此需要对应用进行改造以实现身份信息穿透业务访问全程。
版权声明: 本文为 InfoQ 作者【芯盾时代】的原创文章。
原文链接:【http://xie.infoq.cn/article/2a3adf2a284dc9304e1f987f5】。文章转载请联系作者。
评论