东哥给家乡的新年礼物,竟然让同款羽绒服在京东销量增长了7倍多
06-18
大家好,我是二哥。在本文中,我们讨论与零信任和 SASE 相关的概念。
二哥主要介绍(科普)介绍(普及)为什么零信任概念的出现是必然的。当它出现的时候,从企业安全的角度来说,为什么它直接催生了SASE的诞生。
文章不涉及枯燥的代码和抽象的算法。就像浏览知乎一样阅读它。
1、为什么会出现零信任?英语中的零信任就是零信任。 Forrester 在 2007 年提出了零信任的概念,Google 在 2018 年通过 BeyondCorp(企业网络之外)给安全行业泼油,成功传播了安全行业。
1.1 基于网络边界的保护模型 在介绍零信任为何出现之前,我们先来了解一下。时光倒流到20年前。
那是一个基于默认信任网络的时代。到时候,一个大中型企业肯定会有相当大的IT部门和机房。
电脑房里有什么?支持企业日常业务的服务有多种:邮件服务、Web服务、FTP服务。如果企业涉及制造业,还会有ERP服务、供销管理服务等,IT部门负责这些服务的日常维护,包括打补丁、升级、计划扩容等。
位于机房边缘的DMZ区域,用于运行一些外部服务,如企业官网、邮件服务等。DMZ区域内的服务可以将外部请求转发到内部。
对于防火墙大家一定非常熟悉。它是IT从业者的好伙伴,但同时也是维护的噩梦。
当然,还有更多的服务没有展示出来,比如防止DDos攻击的设备、Web应用防火墙(WAF)等,就不一一举例了。当企业内部的人员或服务想要访问外部网络时,通常会通过SWG(安全Web网关)。
企业员工偶尔需要在家工作。他首先需要通过VPN连接到公司的VPN服务器。
VPN连接会将他和企业内部服务之间的通信数据进行打包,通过隧道进行传输。这些机房内的服务加上DMZ、防火墙等软硬件基础设施就构成了传统的企业网络边界。
企业的分支机构和总部通过租用运营商的专线连接。这种模式被称为“城池”保护模式。
网络边界就像一堵有护城河的墙,围住一座城,留下一道门。城内的人可以自由行动,城外的人只能从城门进出。
图1中的V**就是这样一个城门。图1:传统网络边界防护模式“城市池”模式的最大风险是城市中的人员可以横向移动。
横向运动是 MITRE ATT&CK 术语。如果你关注网络攻击新闻,你会经常看到这个词。
。还记得 12 月份报道的著名的 SolarWinds 攻击吗?这次网络攻击最迟从今年三月开始。
导致美国联邦政府数据泄露,给数千名SolarWinds客户带来巨大麻烦。这次攻击中使用的策略包括使用伪造的凭证进行横向移动。
1.2 难以应对的爆炸性网络去年就来了。今年,亚马逊发布了AWS。
从此,云计算席卷了整个IT世界,彻底改变了企业的网络拓扑。图2:网络边界不断被撕裂和渗透的示意图如图2所示。
如此巨大的变化导致IT环境变得坚固,边界被撕成许多洞,慢慢地切割成几个分散的部分。子环境。
用户(员工、合作伙伴、顾问、供应商);他们使用的设备(手机、笔记本电脑、台式机);他们访问的服务(SaaS应用程序、内部应用程序、云设施、自建服务器)交织在一起,使所谓的网络边界变得毫无用处。越来越多的企业正在慢慢将业务迁移到云端。
罗马当然不是一日建成的,也不会一日倒塌。在这个迁移过程中,出现了所谓的Hybrid模式,即混合模式。
企业不仅维护本地服务,还购买更多SaaS服务。当 Hybrid 模式与 WFH(WorkFromHome,在家工作)相遇时,就会出现一个有趣的问题:如果一个员工在家工作,当他想要从 Office 的 OneDrive 下载一个大附件时,是通过 V* *这个附件是否应该被路由围绕公司内部网络还是应该从家里直接连接到 Office?显然前者是相对安全但最不经济的方法。
因为租用电信带宽非常昂贵,而且难以扩展。当越来越多的人选择在家办公时,IT成本显然会大幅增加,体验也会越来越差。
所以后者是最好的解决方案,但随之而来的另一个问题是:如何解决安全问题?图3:外部访客通过VPN或互联网访问SaaS服务示意图。 1.3 零信任的出现。
顾名思义,零信任从不信任任何请求,无论请求源自何处或其目的在哪里。 。
请求者无法看到整个城市。相反,他只能看到城内的一家餐馆或者客栈。
这其实类似于所谓“暗云”的概念:用户只能看到一些应该看到的服务,而其他不应该看到的服务则为他们屏蔽。零信任将焦点从网络转移到服务本身。
每个服务都需要单独的安全控制,这可以有效防止横向移动,因为每个连接都是暂时的,并且需要重新身份验证和授权。零信任将网络安全的控制粒度细化到各个服务级别,这当然给IT的日常管理带来了更大的难度和更高的挑战。
例如:如何针对各个服务进行认证和授权?如何控制与服务的瞬时连接?如何进行整体审计和事后分析?那么业界的解决方案是什么样的呢?现在轮到SASE登场了。 2.SASE 是什么样的?前面我们提到,企业的网络边界正在以难以想象的速度被扩散、撕裂、渗透。
显然,我们不能再圈出无限的企业边界。既然无法控制,为什么不放手呢?大胆想象一个场景:如果没有网络边界,企业的IT设施会是什么样子?如果我们将图4与图1进行比较,你会发现“网络边界”消失了。
无论企业使用的服务是本地还是SaaS,无论是位于自建数据中心还是云端,它们都对所有访问者开放。你一定会大喊:这不是敞开大门让坏人随意出入吗?当然,放手并不意味着放任,没有界限也不意味着没有防备。
这就是SASE概念的提出。图4:基于零信任的SASE架构图。
SASE的全称是:Secure Access Service Edge。那么,当你看到这个词的时候,你一定会说:这是什么?每个词我都能听懂,但是它们组合在一起说什么呢?你放心,我二哥是个体贴人的人。
如果您不能将它们放在一起理解,那么将它们分开会更容易理解:安全访问和服务边缘。我们用生活中的一个场景来比喻。
假设你去一个豪华社区拜访一位朋友。显然,你会在门口被拦住并问两个问题:你是谁?去哪个别墅?询问后,警卫会给你一张临时访客卡,并告诉你步行路线。
大家看到了吗,这里的门卫相当于扮演了SASE的角色?如图4所示,SASE和零信任结合起来形成一个中心化的网络控制平面,用于回答一个组合命题:谁、何时、何地、想要访问什么类型的服务、是否允许访问以及应该访问什么完成吧。如何控制这种访问? 2.1 安全访问 安全访问实现基于零信任的访问控制。
零信任=始终检查,没有豁免。具体来说,它未来依赖于基于身份的访问和基于上下文的访问来工作。
基于身份的访问,顾名思义,访问是基于身份认证的。每次访问时,您都需要透露您的身份,例如您的 Office 团队帐号和密码。
图 4 中绘制的身份即服务用于验证身份。当然,除此之外,它还可以提供更多的信息,比如该人的访问记录、他平时登录某个服务的时间和地点、访问权限等。
如图4所示,它可以提供UEBA 包含用于大数据分析的材料。基于上下文的访问是比基于身份的访问更智能的概念。
除了验证账户密码是否安全之外,零信任还想进一步了解与该账户登录的所有设备相关的更多信息,比如上次访问时使用的是什么设备、在哪里、使用的是什么网络等用过的?此信息称为设备状态。可以看到,这种设备情况信息比简单的账号和密码更加丰富、立体,也能更好地描绘出访客的准确画像。
与Identy一样,上下文数据也可以为UEBA提供大量的分析素材,UEBA的分析结论可以反馈到设备情况中。写到这里,二哥想到了带有反馈的“自动化与自动控制理论”模型。
如果一个大哥总是在东部时间白天从芝加哥登录访问一系列服务,那么他的登录地址会不会在半夜突然出现在北京呢?或者当他每天使用这些服务时,平均传输的数据量约为1-2GB。他会突然下载数百GB的数据吗?答案是肯定的,但显然这样的行为总是不正常的。
二哥相信一句话:如果你觉得某件事不正常,无论你如何解释,也只是为了安慰自己。图4中的UEBA将结合SWG/ZTNA对用户行为和流量进行全面的观察和分析。
始终为每个用户导出初始基线行为。围绕该基准波动是正常的,但显着偏离该基准则是异常行为。
2.2 第一步是Service Edge完成身份验证。第二步是决定是否授权该请求以及是否允许该请求连接到该控制平面管理的企业服务。
服务边缘涉及两个词:服务和边缘。嗯,二哥好像又说了什么废话了。
这里的服务是什么意思?它涵盖了企业使用的所有服务,无论是本地还是 SaaS。 Edge 就像这些服务的经纪人和看门人。
对这些服务的所有请求都必须通过 Edge。我们都知道,只要可以将请求分组为单个入口和出口,就非常容易控制。
所以Service Edge就像一个软件定义的(Software-Defined)应用程序防火墙。如果我们回顾这些年来IT的发展,我们会惊讶地发现我们正在努力将所有物理设施虚拟化和软件定义。
例如,从物理计算到虚拟计算,从物理网卡到虚拟网卡,从物理网络到软件定义网络(SDN)等等。软件定义意味着控制的粒度变得更细,弹性扩展的能力变得更强。
就像切蛋糕一样,我们根据需要切切并使用物理设施。图4中反复提到了一个重要的概念:临时连接。
它强调Service Edge充当其背后所有服务的看门人。它可以根据规则描述的访问控制为访客建立临时访问线路。
基于规则的访问控制是Service Edge 的标准配置。一旦它从UEBA、EDR和XDR等信息源获悉访问者的行踪可疑,它就会变得智能,可以立即断开服务。
CASB,即云访问和安全代理,是控制 SaaS 访问连接的一个很好的服务。它可以包括威胁检测和事件响应。
2.3 与其他服务集成 图 4 使 SWG 更接近企业使用的服务。需要强调的是,它还可以作为SASE的一部分以SaaS的形式提供服务。
SWG也称为Web安全网关(WSG),一般用于企业出站WEB请求。 ZTNA 是与零信任和网络访问相关的另一个概念。
用于控制企业入站网络请求。图 4 仅显示了服务启动的 ZTNA 的一种实现。
我这里写下两个比较容易混淆的概念,剩下的就留给感兴趣的朋友去Google研究一下: ZTNA和VPN的区别在于,ZTNA可以将访问请求的控制粒度细化到服务级别,而VPN只能控制整个网络等级。由于篇幅限制,SASE与其他服务的集成我就不详细说了。
当我们将其视为决策和控制平面时,我们会发现身份跟踪(如IAM)、监控和检测(如SIEM)、保护(如EPP)和响应(例如IR)可以与其集成连接以完成一个宏伟的新风险管理系统。风险和威胁是两个不同的概念。
前者是风险,后者是与安全相关的威胁。先有风险,后有威胁。
当风险成为现实时,它就是威胁,攻击者可以使用各种手段将风险变为现实。在安全行业摸爬滚打多年的二哥非常强烈地感觉到,当前安全产品的叙事重点已经转移到了风险管理领域。
过去英雄辈出,未来已来,英雄必将谱写新的篇章。 2.4 SASE 和边缘计算 你一定很好奇为什么我在这里提到边缘计算。
别担心,我们继续阅读。如前所述,SASE 是一个集中式网络控制平面。
这意味着所有请求都会首先经过它。考虑到网络延迟和计算处理能力,实际上最好将该服务部署在尽可能靠近用户的地方。
说到这里,你会想到什么?是的,CDN。然而,传统的缓存静态资源并重新分发的CDN无法处理此任务。
事实上,CDN已经从传统的缓存角色转变为边缘计算,甚至基于其地理位置优势提供边缘云计算平台。更可怕的是,CDN厂商都会有自己的骨干传输网络,这意味着如果SASE基于边缘计算构建,跨站数据同步将不需要跨越互联网,而是会使用自己的骨干网络。
想想速度和稳定性都很棒。 Zscaler 和 Cloudflare 都是走在前列的公司。
3.总结 零信任和SASE结合起来形成了软件定义的网络边界(Software-Defined Perimeter,SDP)。这个虚拟边界围绕着用户和企业使用的所有服务,包括本地、IaaS、PaaS 和 SaaS。
作为中心化的网络控制平面,以SaaS的形式提供服务,具有高度的可扩展性和安全性。连接控制平面的一端是访问者,无论他的访问位置如何,连接平面的另一端是企业的所有服务,无论这些服务运行在哪里。
零信任用于控制哪些用户可以访问企业使用的服务,而SASE用于控制与这些服务的连接。简而言之:无论请求是从哪里发起或者发送到哪里,首先都需要进行认证和授权。
如果请求来自企业使用的服务,SWG是一个很好的控制节点。如果请求是从外部到企业使用的服务,SWG是一个很好的控制节点。
对于服务,您需要使用ZTNACASB,它通常用于管理企业使用的SaaS服务。当然不要忘记它的实际使用场景远比我总结的复杂。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-06
06-18
06-21
06-18
06-17
06-18
06-18
06-18
06-17
最新文章
【玩转GPU】ControlNet初学者生存指南
【实战】获取小程序中用户的城市信息(附源码)
包雪雪简单介绍Vue.js:开学
Go进阶:使用Gin框架简单实现服务端渲染
线程池介绍及实际案例分享
JMeter 注释 18 - JMeter 常用配置组件介绍
基于Sentry的大数据权限解决方案
【云+社区年度征文集】GPE监控介绍及使用