一、零信任架构(ZTA)的三大王牌技术:“SIM”组合拳
图1 零信任三大技术SIM,安全界的“三剑客”
话说2019年,美国国家标准委员会NIST发布了一份“武林秘籍”——《零信任架构ZTA》白皮书,瞬间在安全界掀起了一股“零信任”风暴! 这份秘籍里,着重强调了零信任的安全理念,还介绍了实现零信任架构的三大技术,江湖人称“SIM”组合(SDP,IAM, MSG):
- 南北向流量: 就像高速公路上的车辆,从用户开往服务器(Client-To-Server),通常由SDP(软件定义边界)技术来守护南北向的零信任安全。
- 东西向流量: 就像公司内部的车辆,在服务器之间穿梭(Server-To-Server),通常由MSG(微隔离)技术来保障东西向的零信任安全。
- 身份安全: IAM就像门卫大爷,负责用户身份信息的录入,进行身份验证,还管理应用内的用户权限,没有门卫大爷的点头,谁也别想进!
注:以上是安全圈里比较流行的实战方案。理论上,SDP和MSG都能独当一面,搞定东西向和南北向流量的零信任安全。
1.1 SDP:软件定义边界——给你的网络穿上“隐身衣”
云安全联盟CSA在2014年发布了SDP标准规范。SDP,全称Software Defined Perimeter,翻译过来就是“软件定义边界”,是云安全联盟CSA在2013年基于零信任理念搞出来的新一代网络安全模型。
SDP的目标是啥? 简单说,就是在“移动+云”的大背景下,用软件的方式给企业建一道虚拟的安全边界,用基于身份的访问控制机制,给企业的应用和服务穿上“隐身衣”。这样一来,网络黑客就算想搞事情,也看不见目标,只能干瞪眼,企业的数据安全自然就得到了有效保护。
图2 SDP架构,安全界的“变形金刚”
SDP安全模型由3个核心组件组成,分别是:
- Initiating SDP Host (IH),发起者,就像客户端。
- Accepting SDP Host (AH),接受者,就像服务端。
- SDP Controller,控制器,整个SDP的“大脑”。
这3个组件的关系分成了两个层面:
- 控制平面:负责指挥和调度。
- 数据平面:负责实际的数据传输。
AH和IH都要连接到Controller,它们之间的连接要通过Controller的安全控制信道交互来管理。这种结构让控制平面和数据平面分离,实现了完全可扩展的安全系统。而且,所有组件都可以集群化部署,提高性能和稳定性。
- 最小授权: 就像“按需分配”,只给必要的权限,多余的一概没有。
- 三个层面: 数据、控制、管理,各司其职,完美配合。
- 保护对象: 覆盖网络、数据、应用、系统、存储等各种资源。
- 身份认证: 支持对人、设备等的动态实时认证和策略管理。
- 控制器“隐身术”: 动态分配网关(IP/端口)、Token,让攻击者摸不着头脑。
- 双向防护: 防弹衣+隐身衣,SDP最大的特点就是它的“隐身”功能,把被保护的对象藏起来,让攻击者看不见,自然就无从下手。
- 不只是防御南北向攻击: 东西南北,全面防御。
SDP作为一个新兴架构,它的价值在于加强了访问控制管理,为用户访问管理、网络访问管理和系统认证控制等设定了标准。SDP能阻止未经授权的用户和设备访问网络,实施访问控制。因为SDP部署了“全部拒绝”(Deny-all)策略,可以控制IH和AH之间的数据包流动。有了SDP,企业就能自己定义和控制访问策略,决定谁能从哪些设备访问哪些网络服务。
SDP不是要取代现有的身份和访问管理方案,而是对认证的访问控制进行了加强,通过将用户认证和授权与其他安全组件集成,减小了潜在的攻击面。
1.2 ZT-IAM:零信任增强型现代身份与访问管理——给你的身份安全加把锁
IAM主要关注用户认证、权限和审计,主要面向内部员工,具备人员生命周期管理功能,能控制用户登录时的访问权限,统一管理权限,还能记录用户身份变化和访问信息,方便事后审计。
身份管理是大多数组织实现安全和IT运营策略的核心。它能让企业自动访问越来越多的技术资产,同时管理潜在的安全和合规风险,为所有用户、应用程序和数据启用并保护数字身份。SSO(单点登录)解决了用户体验问题,实现一次登录,全局通行。
图3 增强型现代IAM技术,身份安全的“金钟罩”
零信任增强型现代身份与访问管理IAM的特点是:动态、实时、无密码、分布、自主、不再只基于角色,其核心是持续的动态认证和持续的动态授权。
图3 IAM总体框架,身份安全的“导航图”
图4 IAM行业形态,身份安全的“万花筒”
1.3 MSG(Micro-Segmentation)微隔离技术——给你的数据中心建“防火墙”
微隔离,又称软件定义隔离、微分段,最早由Tony在任VMWare CIO时提出,后来他在担任美国联邦政府CIO时也部署实施了这项技术。Gartner也在其软件定义的数据中心(SDDC)的相关技术体系中提到了微隔离。
图4 MSG示例图,数据中心的安全“保护伞”
Gartner在其《Technology Insight for Micro-segmentation》报告中提出了四个主要的微隔离技术路线:
- 云原生控制
- 第三方防火墙
- 混合模式
- 基于主机代理模式
图5 MSG技术路线图,数据中心安全的“路线图”
微隔离是一种网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制,为每个独特的段提供服务。 微隔离让IT人员可以使用网络虚拟化技术,在数据中心内部灵活部署安全策略,而不用安装多个物理防火墙。而且,微隔离可以保护每个虚拟机(VM),在具有策略驱动的应用程序级安全控制的企业网络中,大大增强企业的防御能力。
- 隔离: 细分被保护的资源,精准防护。
- 身份认证: 确认人、设备等身份,防止非法入侵。
- 对云和内网简单有效: 部署简单,效果显著。
- 策略管理: 面向业务,而不是网络,更贴合实际需求。
- 从分散管理走向集中管理: 统一管理,提高效率。
- 从手动到自动: 自动化运维,减少人工干预。
- 不局限于防御东西向攻击和云部署: 全方位防御,无死角保护。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************