20210818
<科网热话>网络安全新思路 - 零信任架构
在传统边界防护安全体系下,多以内网外网分区构建安全体系,而内网用户多为默认拥有较高的网络权限,外网用户则以VPN等技术接入内部网络。过去一年疫情期间,远程工作模式渐成常态。亦随着不同的网络技术,例如IOT、云计算等的发展,令公司网络环境的攻击面增加,需要控制的风险更多,因此零信任架构模块在近年重新获得关注,以降低传统防护的复杂程度及提高安全性。
零信任架构模块最初由Forrester的John Kindervag于2010年提出,并于Google的BeyondCorp项目得到应用。此模块主要概念为以身份为中心进行访问控制,默认整个网络不论内外的人、设备、进程于验证前均不予信任,并且透过持续验证提供授权。
对比传统防护体系以区域划分信任,零信任架构基于可信身份,可信设备及可信应用三个元素提供访问权限。每一个访问要求均进行用户身份验证,设备安全状态检查及整个数据传输路程加密。在设计上大致有以下思路被提出:
可信身份则对用户身份进行验证,而身份需要统一控制监管以确保最小权限的释放。针对可信设备,对新接入设备都需要有统一标准,例如公司统一控制、安全加固、定期进行漏洞检测等。同时在访问时验证硬件信息及证书确保身份。进程则需要检测是否有漏洞或病毒等。传输路程加密则透过密钥加解密每个访问,并均验证用户、设备及应用信息,对比传统VPN可减少SSL连接及路由配置过程。
其实大部分提出的安全措施均颇为常见,坊间也有不少方案可以达到有关控制。而相对新颖的两点是取缔VPN以TCP访问作通讯认证,以及整合各种信息,例如设备、应用程序、时间以及静态账号权限配置,去达到动态的权限分配,同时兼容连接的稳定性及速度。在云计算、IOT等新技术普及后的网络环境下,网络攻击会更层出不穷,而安全机制亦愈趋复杂。文中简单介绍现时讨论的零信任架构的内容,期望更精简的设计及应用会在未来出现,能够同时满足便利性和安全性,在各种环境下都能够执行,以加固网络安全、保护企业和机构的重要信息资产。
林芷晴
永盛科讯
地址:香港皇后大道中183号中远大厦4602室
电邮:info@ringus-solution.com
电话:(852) 2907 6011
网址:www.ringus-solution.com
上一篇文章
下一篇文章
延伸阅读
<科网热话>太空网络安全
BY 集团品牌及推广 FROM 亨达集团
<科网热话>互联网实名登记
BY 集团品牌及推广 FROM Hantec Prosperous Limited
<科网热话>数码转型的步伐
BY 集团品牌及推广 FROM 亨达集团