零信任是一種以資源保護為核心的網絡安全范式。《零信任網絡:在不可信網絡中構建安全系統》一書對零信任安全進行了簡要歸納和概況:1)網絡無時無刻不處于危險的環境中;2)網絡中自始至終都存在外部或內部威脅;3)網絡位置不足以決定網絡的可信程度;4)所有的設備、用戶和網絡流量都應當經過認證和授權;5)安全策略必須是動態的,并基于盡可能多的數據源計算而來。因此零信任安全的核心思想是默認情況下企業內部和外部的所有人、事、物都是不可信的,需要基于認證和授權重構訪問控制的信任基礎。零信任的雛形最早源于 2004 年耶利哥論壇提出的去邊界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的術語。經過近十年的探索,零信任的理論及實踐不斷完善,逐漸從概念發展成為主流的網絡安全技術架構。
SDP 技術是通過軟件的方式,在“移動+云”的背景下構建起虛擬 ,利用基于身份的訪問控制及完備的權限認證機制提供有效的隱身保護。SDP 是由云安全聯盟(CSA)開發的一個安全框架,其體系結構主要包括 SDP 客戶端、SDP 控制器及 SDP 網關這三個組件,其中客戶端主要負責驗證用戶身份,將訪問請求轉發給網關,控制器負責身份認證及配置策略,管控全過程,網關主要保護業務系統,防護各類網絡攻擊,只允許來自合法客戶端的流量通過。SDP 可將所有應用程序隱藏,訪問者不知應用的具體位置,同時所有訪問流量均通過加密方式傳輸,并在訪問端與被訪問端之間點對點傳輸,其具備的持續認證、細粒度的上下文訪問控制、信令分離等防御理念可有效解決企業業務拓展中的安全問題,成為了零信任理念的最佳踐行之一。
全面身份化是零信任架構的基石,零信任所需的 IAM 技術通過圍繞身份、權限、環境等信息進行有效管控與治理,從而保證正確的身份在正確的訪問環境下,基于正當理由訪問正確的資源。隨著數字化轉型的不斷深入,業務的云化、終端的激增均使得企業 IT 環境變得更加復雜,傳統靜態且封閉的身份與訪問管理機制已不能適應這種變化,因此零信任中的 IAM 將更加敏捷、靈活且智能,需要適應各種新興的業務場景,能夠采用動態的策略實現自主完善,可以不斷調整以滿足實際的安全需求。
