网络攻防学习笔记 Day113

零信任架构方法是一种基于网络/数据安全的端到端的方法，关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施；零信任是一种关注数据保护的架构方法，认为传统安全方案只关注边界防护，对授权用户开放了过多的访问权限。零信任架构的首要目标就是基于身份进行细粒度的访问控制，以便应对越来越严峻的越权横向移动风险。

动态访问控制是零信任架构的安全闭环能力的重要体现。通过 RBAC（基于角色的访问控制）和 ABAC（基于属性的访问控制）的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问，同时，当访问上下文和环境存在风险时，需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。

可信代理是零信任架构的数据平面组件，是确保业务安全访问的第一道关口，是动态访问控制的策略执行点。

动态访问控制引擎和可信代理联动，对所有访问请求进行认证和动态授权，是零信任架构控制平面的策略判定点。

信任评估引擎是零信任架构中实现持续信任评估能力的核心组件，和动态访问控制引擎联动，为其提供信任等级，作为授权判定依据。

云计算本身的安全通常称为云计算安全，是指针对云计算自身存在的安全隐患，研究相应的安全防护措施和解决方案，如云计算安全体系架构、云计算应用服务安全、云计算环境数据保护等，云计算安全是云计算健康、可持续发展的重要前提。

云计算在信息安全领域的具体应用，也称为安全云计算，是指利用云计算架构，采用云服务模式，实现安全的服务化或统一的安全监控管理，如国内杀毒软件厂商提供的云查杀模式、云安全系统等。

云安全可具体分为安全物理环境、安全通信网络、安全区域边界、安全管理中心、安全建设管理、安全运维管理等多个方面的安全防护与保障。

数据安全治理。建设数据安全治理系统，梳理数据资产、进行数据分类分级。通过智能学习、内容指纹等方式，识别敏感数据，掌握敏感数据的分布、使用情况；通过机械学习等方式，确定数据安全属性与访问控制策略，将其纳入身份管理与访问控制平台统一管理；采用 ABAC，对数据进行精细化的安全管理。