只需五步 零信任数据安全从架构到落地

2020-05-22 19:43

11.jpg


零信任的由来


零信任的历史,可以追溯到2010年,市场研究机构Forrester分析师Kindervag最早提出零信任网络架构。他认为:传统的网络架构中主要根据位置来判断是否信任,来自内网的完全信任,来自外网的不信任,而依靠网络位置来评估信任的方法已经不再适用,应该对所有网络连接都不信任。


2.png


2011年,谷歌启动BeyondCorp计划,历时7年实施完成。它可以针对不同的企业资源进行细粒度的访问控制,其用户企业资源的访问基于设备状态和用户凭证进行认证、授权和加密。

2013年,CSA提出SDP概念,摒弃传统边界安全设备,在服务和资源所有者控制下运行逻辑组件。

接下来,零信任在国外开始“百花齐放”,PaloAlto利用其防火墙产品对所有流量进行检测和控制,实现零信任架构;Cyxtera通过对用户身份和设备进行验证、对比、评估,实现SDP架构;Symantec则在云环境下实现SaaS化零信任登陆、访问控制;Cisco、VMware等厂商都相继推出了自己的零信任产品。


1590149083403115.png


2020年RSA大会将零信任推向一个新的高潮,Zero Trust进入热词榜前14位,由此,越来越多的厂商开始推出零信任概念。

 

22.jpg


问题与挑战


近两年来,零信任在安全界引起了广泛关注,特别是国内的安全厂商相继推出了零信任解决方案。但是,从概念到落地,零信任安全之路充满了问题与挑战。

1、交互的影响

零信任是“从不信任,总是验证”,不管是内网还是外网都不信任,意味着整个交互过程信任程度的不变,而这将导致交互和业务的难以开展 , 以及信任等级的过度或不足。

2、业务系统的改造

零信任方案 ,不可避免地会对内网业务系统会进行大范围的改造。Google的 BeyondCorp 和Cisco 的 Duo Beyond 方案都是取消 VPN, 全部采用 HTTP、HTTPS 和 SSH 等方式对内网进行访问, 这不是兼容性的问题,而是已有 VPN 设备几乎完全得不到复用。

3、访问策略框架

Google的项目周期大约是7年,它多次提到了他们在形成这个框架时面临的挑战,把信任从外围改变到端点,目标是在不断变化的环境中基于动态用户和设备,做出智能的选择。

 

33.jpg


零信任方案如何落地?


针对零信任方案落地过程中的挑战,国际上已经形成了比较成熟的方法来应对,可以按照5个步骤来进行:

1、识别数据资产并分类分级

通过资产盘点发现企业所有的数据资产,为所有的数据建立清晰的目录,使客户能够精确地掌握字段级的数据信息,解决数据安全保护范围不清楚的问题。再由识别引擎,结合识别策略和识别模型,识别出数据中的敏感数据,对数据进行分类分级,并做出综合的分析。

2、对重要数据的流转路径进行梳理

梳理数据的流转路径,其实是对企业的业务进行梳理。了解重要数据的流转路径和交互对象,了解企业的数据使用场景,可以分析出重要数据可能存在的风险,有助于后续采取有针对性的技术措施。

3、规划数据安全策略

根据重要数据的分类分级信息和安全风险,为访问数据的人、设备和应用等主体规划数据的访问权限,遵循最小权限原则。

4、部署零信任产品设备

根据重要数据的流转路径和分布位置,在网络中部署零信任产品。在重要数据前方部署隔离设备。并将之前规划好的安全策略应用到这些零信任设备上。

5、持续监控并不断改进

零信任防护能力并不是一步到位,事实上,任何解决方案都不是一步到位。为了使零信任方案能够发挥预期的效果,需要对整个防护体系的工作状态进行监控,根据出现的问题和业务变化,及时调整策略。

 

面对愈演愈烈的外部威胁和内部风险,以及传统边界防御模型面临的巨大挑战,零信任将成为企业数字化转型过程中应对安全挑战的主流架构之一,但零信任的真正落地还有待时间的检验,闪捷信息也将继续深耕、致力创新,希望未来能帮助更多用户构建全方位的“零信任”数据安全防护体系。

 

关于闪捷信息:

闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据防泄露、数据库审计、数据库防火墙、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。