我们在保护企业安全必须理解的“零信任”理念中详细介绍过“零信任”的概念。那么哪些技术可以帮助企业实现“零信任”呢?
从技术视角划分,零信任的主流技术分为三种:即 SIM:
-
S 为 SDP(Software Defined Perimeter, 软件定义边界) -
I 为 IAM(Identity and Access Management,身份识别与访问管理系统) -
M 为 MSG(Micro-Segmentation,微隔离)
-
软件定义边界(SDP) 软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。之所以被称为黑云,和其预期达到的效果有关。SDP 可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。 根据云安全联盟的定义,SDP 的主要组件包括发起主机(客户端),接受主机(服务端)和 SDP 控制器,客户端和服务端都会连接到这些控制器。二者间的连接通过 SDP 控制器与安全控制信道的交互来管理。
-
身份识别与访问管理(IAM) 身份识别与访问管理(IAM)是网络安全领域中的一个细分方向。IAM 产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何访问,访问后可以执行哪些操作。 IAM 的核心主要几个方向:
-
认证:通过确认实体(包含人与设备等)的身份,建立信任,其中包括多因素认证等。 -
访问控制:确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。 -
身份治理:对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。 -
特权身份管理:是对管理员等权限较高的账户等进行进一步管理。
但需要注意的是, IAM其实也存在着诸如开发效率低,成本浪费严重等各种问题,这本质上是因为不适用于数字化时代和企业的云化需求, Authing在 IAM 的基础之上结合云计算的能力,构建了全新的 IDaaS 解决方案。
IAM (Identity and Access Management) 和 IDaaS (Identity as a Service) 虽然都是用于身份验证和访问控制的技术。但是,IAM 是一种软件或服务,而IDaaS 是一种云服务,用于处理身份验证和访问控制。它可以帮助组织在云端处理身份验证和访问控制,而无需自己维护服务器或基础设施。
-
微隔离(MSG) 微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API 对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
Authing 作为中国领先的云计算身份基础设施,正是「零信任」安全体系下身份安全基础设施的产品实现。Authing 利用云原生架构,结合零信任安全体系,通过提供一整套开发套件,满足企业内部员工身份管理、外部客户身份管理、老应用兼容、新应用开发等全部场景的需求。
数据越来越多,安全越来越重要。数据泄露频发,让企业和用户丧失安全感。零信任网络能提供更好的数据泄露防护,让网络边界内外的任何东西,在未经验证前都不予信任。「零信任」是对网络安全行业的重大颠覆,网络安全问题将引导着企业向零信任的网络安全模式转变。
