零信任这个概念是在什么样的背景下提出来的?如何理解零信任这一概念?
发布网友
发布时间:2022-04-26 23:17
共2个回答
热心网友
时间:2023-11-11 20:55
零信任概念的背景是:
企业应用上云的增加,网络环境日趋复杂,企业人员流动频繁,传统防火墙机制在面对外部用户裸奔访问公有云服务等潜在危险时显得无力应对,网络环境中的用户、设备、应用及IT资源之间的连接被暴漏在高风险环境中。基于这些因素,零信任的概念逐渐出来,并被大家接受。
零信任是提倡身份为边界作为权限管控的基础,进一步讲,就是零信任认为企业不应该自动信任内部或者外部的任何人、事、物,应在授权前通过动态和持续的身份认证和评估机制,对网络环境中的访问主体人和设备的危险等级进行科学准确判断,采用最小特权访问策略,严格执行访问控制,提升所有网络实体连接之间的可信关系,增加企业安全保障。
比如玉符科技IDaas平台可以实现对应用的集中集成,实现对人员信息的集中管控在登录上支持MFA等安全策略,可以了解一下。
热心网友
时间:2023-11-11 20:55
“零信任”这个概念,由时任Forrester研究公司的首席分析师约翰·金德维格(John Kindervag)
于2010年提出来的,核心理念是所有人和物都是不可信的,需要对其访问任何资源的任何请求进行信任管理和安全控制。现在,各大安全厂商都已经推出了各自的零信任安全解决方案,美国国家标准研究院也于2020年8月发布了SP
800-207
《零信任构架》的指导文件,给出了零信任架构(ZTA)的定义,并给出了零信任可以改善企业整体信息技术安全状况的常规部署模型和用例。而随着保护业务系统和数据的压力越来越大,并且攻击变得越来越复杂,企业CIO,CISO和其他高管正在越来越多地认同零信任的概念并实施零信任安全解决方案,以便更有效地适应复杂的网络环境、支持移动办公和保护位于任何位置的用户、设备、应用和数据。
所谓“零信任”,通俗点讲就是不信任任何人和物。零信任是一个安全概念,并没有固定的某项技术,其核心思想是组织不应自动信任其边界之内或之外的任何人和物,必须在授予访问权限之前验证试图连接到各种系统的所有人和物。零信任模型从根本上遏制了城堡和护城河的旧思想,因为云计算和移动办公等新技术得到了广泛应用,城堡和护城河保护方法已经行不通了。应该始终假设网络充满威胁,外部和内部威胁每时每刻都充斥着网络,不能仅仅依靠网络位置来建立信任关系,所有设备、用户和网络流量都应该被认证和授权才能访问各种系统。
密信技术在此基础上根据用户对零信任架构的需求提出了自己的基于PKI技术和云密码服务的零信任安全解决方案,与传统网络安全厂商的零信任安全解决方案不同的是,传统安全厂商还是侧重于防护,而我们的解决方案则是侧重于解决信任问题和直接保护被防护的最终目的地—数据。我们认为:PKI技术是解决信任问题和保护数据安全的最有效和最高效的可靠技术。依据《密码法》对密码的定义—
“密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”
,采用密码技术实现对用户的安全认证和对信息进行加密保护,就能解决零信任想要解决的问题,同时也能满足用户的《密码法》合规需求。
