长亭百川云 - 文章详情

做为五大安全架构之首的零信任,到底能解决什么问题?

晓兵Jason

106

2024-06-20

如果加星标,可以及时收到推送

锐安全第246篇原创文章,

本文1525字,阅读时长4分钟

零信任绝对是安全领域最火爆的理论,也是迄今为止最庞大的安全体系,所以咱们得慢慢说。

有人说,零信任不是一种产品,而是一种战略,是一种访问控制的安全新范式,它代表着新一代的网络安全防护理念,所以我把零信任放到了“安全方法论”里。

五大安全架构

零信任原始的全称是“网络安全零信任模型(Zero Trust Model of Cybersecurity)”,由著名研究机构Forrester分析师约翰·金德维格(John Kindervag)于2010年提出。这哥们儿于2017年加入派拓网络(Palo Alto Networks)任领域CTO(Field CTO),大家都称他为“零信任之父”。

2010年由Forrester提出的“零信任”,和2013年由NIST提出的“网络安全框架(Cybersecurity Framework, CSF)”、2015年由SANS研究所(SANS Institute)提出的“网络安全滑动标尺模型(Sliding Scale of Cyber Security)”、并称**“三大网络安全架构”**。

当然,也有人认为另外两个安全架构是MITRE公司于2013年提出的“ATT&CK框架(Adversarial Tactics, Techniques, and Common Knowledge, 对抗战术、技术和通用知识库)”,和著名咨询机构Gartner于2014年提出的“自适应安全架构(Adaptive Security Architecture, ASA)”。

NIST的“网络安全框架CSF”和Gartner的“自适应安全架构ASA”类似,都是守方视角,常用于描述**“安全防守能力”**。CSF是IPDRR,即识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Recover)等五要素,而ASA是预测(Predict)、防御(Prevent)、检测(Dectect)、响应(Respond)等四要素。

SANS的“网络安全滑动标尺模型”是甲方视角,常用于描述**“安全建设阶段”**,即安全建设可以按照:架构安全(Architecture)、被动防御(Passive Defense)、积极防御(Active Defense)、情报(Intelligence)、进攻/反制(Offense)等五个阶段来进行。

MITRE的“ATT&CK框架”是攻击视角,则常用于描述**“网络攻击能力”**,由14项战术组成。

所以零信任、网络空间安全框架CSF、ATT&CK框架、自适应安全架构ASA、网络安全滑动标尺模型可以并称为**“五大网络安全架构”**,而零信任以重要性和复杂性居首。

零信任到底能解决什么问题?

有人说零信任是基于人的维度来解决身份安全问题的,如果你要这么看,那么零信任就得跟4A、IAM、IDaaS等连在一起看。

有人说零信任是用来解决数据安全问题的,如果你要这么看,那么零信任就得跟文件加解密、安全工作空间、安全浏览器、数据防泄露DLP、数据库防火墙、数据加密隧道VPN等连在一起看。

有人说零信任是用来实现访问控制的,如果你要这么看,那么零信任就得跟用于网络访问控制的防火墙、用于应用访问控制的堡垒机、用于数据库访问控制的数据库运维平台连在一起看。

所以你看,零信任就是一种你一提大家就明白,但是越细讲大家就会越糊涂的东西。

所以一般人就会有一个疑问:零信任到底解决了什么问题呢?你说是发现了更多的0-DAY漏洞,还是拦住了更多的攻击?你说是提升了组织整个安全体系的安全系数,还是更好地保障了业务?从效果来看,好像零信任也是一种越说越难说的存在。

这就是零信任最大的问题,它的理念复杂、决策复杂、实施复杂、运维复杂、效果呈现也复杂。它其实不符合软件产品的正常逻辑:实现复杂、使用简单,比如搜索引擎、大模型、杀毒软件、防火墙等。

它只能是从理论上证明更有效的安全方法论,所以零信任到今天为止,尝试的客户多、落地效果好的客户少。

举个例子,零信任跟IT部门相关、跟运维部门相关、跟数据部门相关、跟业务部门相关、跟风控部门相关,要落地一个零信任,需要横向破壁,决策成本是非常高的。

如果零信任是一个“Call High”的生意,那它的商业复制就会非常难、特别慢。

但是有一点,“零信任+”作为创新课题来立项特别容易,零信任+任何安全环境和安全对象,都会显得先进。

虽然我认为零信任即可以是一种抽象的理论、理念、思想或范式,也可以是一种顶层的模型、架构、框架或方法,当然还可以是一种产品、系统、平台或解决方案,也可以是一组技术。

但是说到这里,我又有点不笃定了,如果它是一个这么复杂的体系,还是把它当成一种理论或方法论比较好。

所以,要想真正理解零信任,咱们就得从“零信任到底是如何变复杂的?”这个问题开始。

恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见!

您的安全架构航海之旅到了这里:

点击文末【阅读原文】,看到一个完整的安全系统

end

如果你对本文有任何建议,

欢迎联系我改进;

如果本文对你有任何帮助,

欢迎分享、点赞和在看

如果心生欢喜,不如做个长期朋友:)


参考资料:

[1]陈本峰 贾良珏 魏小强 董雁超.零信任安全从入门到精通,2024年1月. 中国工信出版社 电子工业出版社

[2]Paloalto.John Kindervag.https://www.paloaltonetworks.com/blog/author/john-kindervag/

[3]John Kindervag.No More Chewy Centers: Introducing The Zero Trust Model Of Information Security,2010-09-17. https://media.paloaltonetworks.com/documents/Forrester-No-More-Chewy-Centers.pdf

[4]NIST.CYBERSECURITY FRAMEWORK.https://www.nist.gov/cyberframework

[5]NIST.Update on the Development of the Cybersecurity Framework,2013-07-24.https://www.nist.gov/system/files/documents/itl/NIST-Cybersecurity-Framework-Update-072413.pdf

[6]The Sliding Scale of Cyber Security.2015-09-01.https://www.sans.org/white-papers/36240/

[7]锐安全.安全方法论里,还缺一个实战安全架构,2024-06-06.https://mp.weixin.qq.com/s/mE5M7lfwNhjv2vYya7Lp8A

[8]青藤云安全.最具影响力的三大安全架构:零信任、ATT&CK、自适应安全, 2019-10-29.https://mp.weixin.qq.com/s/6wWaI\_zKUfzd0ainfhA1FA

[9]张福 程度等.ATT&CK框架实践指南(第二版).中国工信出版社 电子工业出版社,2023-08.

[10]锐安全.安全热词的本质到底是什么?,2022-09-01.https://mp.weixin.qq.com/s/a46iFIsEP9Oq\_K\_bcfLgLA


题图创作者:晓兵与AI小助手

算法提供:百度

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2