什么是零信任?

这篇具有很好参考价值的文章主要介绍了什么是零信任?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

什么是零信任?

什么是零信任?

零信任(Zero Trust)是一种安全理念,而不是一种所有安全团队都要遵循的最佳实践。零信任概念的提出是为了给云原生世界带来更安全的网络。零信任是一种理论状态,即网络内的所有消费者都不仅没有任何权限,而且也不具备对周围网络的感知。

零信任的基础

零信任网络中的所有用户,包括机器和人类,都需要通过一个密码学验证的身份。要是实践零信任,需要从引入用户身份开始,然后考虑限制用户的最小访问权限。零信任实践的基础是认证和授权,这是比起传统的安全策略来说,零信任中的认证变得更加严格,而授权将变得更加细化。举个例子,传统的授权是:“用户 A 可以访问数据中心 D 吗”,而在零信任的框架下将变成 “在某个特定的时间点,在某个特定的地区,使用某个特定的设备的用户 A 可以访问某个特定应用中的某个特定文件吗?”

越来越细化的授权

在 Kubernetes 中,我们使用 RBAC 来管理权限。所有用户都是以组为基础来授予或拒绝访问权限,单个用户(服务账户)会被授予过多的访问权限。零信任的一个重要特征就是更细的粒度,基于角色来授予访问权限是不够安全的。我们需要细化用户对单一资源在限定时间内的访问权限。这正好与微服务背后的原则相契合 —— 随着服务和数据被分解成更小的部分,就有可能允许我们细化地位服务授予访问权限。

有时间限制的授权

关于授权,我们往往会存在一种误解,即一个用户一旦被认证和授权,他就成了一个 “受信任” 的用户,该用户就可以随时的对系统进行访问。然后,在零信任网络中,没有受信任的用户或设备。用户的每一次访问都需要经过认证和授权。而且,授权还会有一个时间窗口,用户只能在这个规定的实践窗口中执行规定的动作。

如何在企业内实行零信任网络

因为网络是企业系统的命脉之一,牵一发而动全身,要在企业内实行零信任网络,通常需要战略高层管理人员接纳零信任,通过自上而下的方式强加给安全团队。然后渐进式的改进你的网络,从一个关键业务开始,使其变成零信任的。

在零信任网络里,默认是拒绝一切访问。需要在应用程序开发中,积极主动的允许来自应用程序的某些适当的请求。身份是零信任的基础,而不是网络。零信任的关注对象是访问点、身份认证与授权和攻击面。对于云原生应用,因为它们的生命周期短暂且是动态的,为了实现零信任,你必须为每个访问点配置一个规则,不断更新应用程序的证书和访问规则,这时候手动配置几乎是不可能的,你必须实现自动化。

在 IstioCon 2022 的主题演讲 [1] 有提到,Istio[2] 正在成为零信任的一个重要组成部分。其中最主要的是面向身份的控制,而不是面向网络的控制。这方面的核心原则在谷歌白皮书《BeyondProd:云原生安全的新方法》[3] 上有描写 。

如果我们能将身份概念扩展到用户,并为我们提供灵活而丰富的策略机制来指定、监控和跟踪访问控制,我们就能达到一个可操作的零信任架构 —— 将用户、服务和数据统一到一个管理层。我所工作的公司 Tetrate[4] 创建了 Tetrate Service Bridge[5] —— 可供大型组织使用的管理平面,也是践行了零信任的理念。

总结

零信任是一种安全理念,它的基础是认证和授权。但比起传统网络安全方法来说,零信任具有如下特点:

  • • 系统中的所有工作负载都有一个密码学验证的身份

  • • 零信任网络默认拒绝所有访问

  • • 具有更细粒度的访问授权。

为了在云原生应用中实行零信任,你需要:

  • • 自上而下的推行

  • • 从关键业务入口

  • • 建立自动化工具

参考

下面有一些资料你可以参考:

  • • 写给 Kubernetes 工程师的 mTLS 指南 [6]

  • • 利用服务网格为基于微服务的应用程序实施 DevSecOps[7]

  • • Istio 捐献给 CNCF 意味着什么?[8]

引用链接

[1] 主题演讲: https://events.istio.io/istiocon-2022/sessions/zero-trust-istio/
[2] Istio: https://istio.io/
[3] 《BeyondProd:云原生安全的新方法》: https://cloud.google.com/blog/products/identity-security/beyondprod-whitepaper-discusses-cloud-native-security-at-google
[4] Tetrate: https://tetrate.io/
[5] Tetrate Service Bridge: https://www.tetrate.io/tetrate-service-bridge/
[6] 写给 Kubernetes 工程师的 mTLS 指南: https://lib.jimmysong.io/translation/mtls-guide/
[7] 利用服务网格为基于微服务的应用程序实施 DevSecOps: https://lib.jimmysong.io/service-mesh-devsecops/
[8] Istio 捐献给 CNCF 意味着什么?: https://jimmysong.io/blog/istio-has-applied-to-join-the-cncf/

更多云原生社区资讯,加入云原生社区讨论群,欢迎加入云原生社区,点击阅读原文了解更多。文章来源地址https://www.toymoban.com/news/detail-470661.html

到了这里,关于什么是零信任?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【防火墙trust和untrust什么意思?】

    ​我们都知道,所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免

    2024年02月11日
    浏览(33)
  • 面试官问 : ArrayList 不是线程安全的,为什么 ?(看完这篇,以后反问面试官)

    金三银四 ? 也许,但是。 近日,又收到金三银四一线作战小队成员反馈的战况 : 我不管你从哪里看的面经,但是我不允许你看到我这篇文章之后,还不清楚这个面试问题。 本篇内容预告:   ArrayList 是线程不安全的, 为什么 ? ① 结合代码去探一探所谓的不安全  ② 我们

    2024年02月02日
    浏览(60)
  • HTAP应该是一种需求 而不是一种产品

    作者 : 石臻臻 , CSDN博客之星Top5 、 Kafka Contributor 、 nacos Contributor 、 华为云 MVP , 腾讯云TVP , 滴滴Kafka技术专家 、 LogiKM PMC(改名KnowStreaming) 。 LogiKM(改名KnowStreaming) 是滴滴开源的Kafka运维管控平台, 有兴趣一起参与参与开发的同学,但是怕自己能力不够的同学,可以联系我,当你导

    2024年01月19日
    浏览(47)
  • “星链”安全设计理念初探

    摘  要: 美国 SpaceX 公司的“星链”是目前全球商业化应用最广泛的卫星互联网系统。出于保护商业秘密的原因,SpaceX 极少向外界透露有关“星链”系统的安全设计信息。根据 SpaceX 官方网站发布的少量信息,对“星链”终端和系统的安全设计理念进行了介绍,对应用中面临

    2024年02月04日
    浏览(54)
  • 企业信息防泄漏管理的理念是什么?

    在这个数字化的时代,信息数据的安全已经成为企业发展的关键要素。随着网络技术的飞速发展,信息安全的重要性日益凸显,它关乎企业的生死存亡。在企业的信息系统中,信息泄露是最常见和最严重的风险之一。因此,建立一套全面有效的信息防泄漏管理体系,成为企业

    2024年01月19日
    浏览(46)
  • 【DevOps核心理念基础】1. 什么是 devops

    一、什么 devops? 1.1 定义 1.2 作用 1.3 核心 1.4. 软件开发流程 1.5. DevOps的核心定义 1.6. 具备的能力 二、DevOps流程中的几个关键概念 2.1 持续集成 2.2 持续交付 2.3 持续部署 2.4 总结 三、DevOps和敏捷开发的演进 Development Operations  的缩写,也就是 开发运维 DevOps 是一个 不断提高效率

    2024年02月07日
    浏览(36)
  • Twitter推荐系统的可信和安全模块解析(Trust and Safety Models)

    上一篇博文整体看了Twitter推荐的架构: Twitter开源时间线推荐架构整理(Twitter‘s Recommendation Algorithm) 本篇文章解析一下可信和安全模块的具体实施细节。 Trust and Safety Models 源码地址:https://github.com/twitter/the-algorithm/tree/138bb519975407d4ea0dc1478d897d451ef05dab/trust_and_safety_models 信任

    2024年02月07日
    浏览(37)
  • 网络安全-零信任安全

    零信任的概念 零信任技术体系是一种安全架构和策略,其核心理念是不信任任何用户或设备,而是通过不断验证和授权用户、设备和应用程序的身份和权限来保护网络和数据安全。 在传统的网络安全模型中,通常会侧重于保护边界,即在企业网络内部和外部之间建立防御墙

    2024年02月03日
    浏览(42)
  • 零信任网络安全

    零信任是一种安全思维方式,表示组织不应自动信任其边界内外的任何内容。在授予访问权限之前,必须验证任何尝试连接的实体。零信任安全策略围绕最低特权访问控制和严格的用户身份验证,因为假设不信任任何人。 若要实现这些原则,组织需要为用户部署具有自适应身

    2024年02月04日
    浏览(43)
  • 零信任安全解决方案

    零信任网络架构 (ZTNA) 或零信任安全是一种新的组织网络安全方法。它旨在修复传统基于边界的安全性中的缺陷并简化网络设计。 它以“永不信任,始终验证”的原则运作。这意味着,无论用户或设备位于何处,也无论他们以前是否访问过资源,都需要在再次获得访问权限

    2024年02月15日
    浏览(28)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包