打造零信任网络的五个步骤
|
van认为,相比VPN,零信任网络安全架构具备以下三大优点: 1. 不存在网络桥接,不会劫持用户流量。 2. VPN设备的一大问题,在于需要匹配专有软件/操作系统配置——这类配置正是阻碍自动修复程序的元凶,而零信任架构可以选择的OpenSSH安全记录要好得多,自2003年以来,OpenSSH从未因默认配置中的漏洞而遭遇未经授权的远程访问。细粒度的应用与流量监控和微分段,使得攻击者即使成功侵入网络入口点位置,其实也没有什么后续空间可以利用。 3. 与VPN一旦用户登录就获得完全授信不同,零信任的主机保护解决方案会对每个应用程序进行严密监控,记录应用的所有活动并执行流量过滤。如此一来,即使攻击者成功侵入私有云VPC网络入口点位置,其实也没有什么后续空间可以利用。 但是对于零信任取代VPN,安全牛的读者们看法不一,有人认为Sullivan对VPN桥接和流量劫持的说法不准确,指出: IPSec支持IP载荷直接传输的非桥接模式。该协议是经过大量安全研究者分析过的,其他协议不说实现,本身协议安不安全就是个问题。而且协议问题的发现需要时间。 也有读者支持Sullivan的观点,认为: 现有的VPN方案确实都垃圾,IPsec (基于strongSwan) 算好的了,但IPsec本身的复杂度让配置变得麻烦,而且不同客户端的支持也有管理成本。OpenVPN性能比较差。而商业的要特定的客户端…… 为什么是零信任?零信任不是产品或服务,当然也不仅仅是流行语。相反,它是网络安全的一种特殊方法。它的意思正如其名——不是“先验证,然后信任”,而是“永远不要信任,永远要验证”。 本质上,零信任关系到通过限制对数据的访问来保护数据。企业不会自动信任任何人或任何东西,无论是在企业网络安全边界范围之内还是之外。相反,零信任方法要求在授予访问权限之前,对试图连接到企业内网的应用程序或系统的每个人、设备、帐户等进行验证。
可是等等,传统网络安全系统的设计不就是实现这种安全控制吗?难道零信任仅仅是一种锦上添花的技术?回想一下微盟删库事件的情节——微盟的一位核心运维人员通过VPN登录堡垒机然后进入生产环境上演“电锯狂人”,传统网络安全工具和控制形同虚设,虽然微盟删库事件有其特殊性,且问题的根源主要是缺乏内部威胁的预案和安全管理策 (编辑:漯河站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
