官术网_书友最值得收藏!

1.1.4 Forrester對零信任概念的豐富

在2010年提出零信任概念后,Forrester一直不斷完善零信任的概念。幾年后,著名的分析師 Chase Cunningham 將之重新修訂為零信任擴展生態系統(Zero Trust eXtended(ZTX) Ecosystem)。與原來的概念相比,ZTX將零信任架構的范圍擴展到7個維度,整個模型更加豐富了,如圖1-3所示。數據是零信任架構保護的核心目標。工作負載(Workload)、網絡、設備和用戶是“接觸—數據”的管道,零信任架構圍繞這些管道執行安全管控策略、展示安全態勢。

圖1-3

下面依次介紹ZTX包含的7個維度的內容。

(1)數據:ZTX應當對整個數據生命周期進行保護。基于用戶、設備、環境等多種因素進行綜合評估后,執行數據分類、加密、訪問控制安全措施。數據泄密防護(D Prevention,DLP)也應當屬于零信任架構的一部分。

(2)網絡:ZTX應當對用戶和服務器分別進行網絡隔離,基于身份和環境屬性,提供細粒度訪問控制。傳統網絡安全模型中的邊界安全產品也應當在零信任架構中發揮作用。

(3)用戶:ZTX包含身份管理功能,通過多因子認證、單點登錄等策略,減少與用戶身份相關的威脅。

(4)工作負載:工作負載指承載業務服務的基本組件單元,例如,傳統的物理機、虛擬機,現在的云主機、Docker容器、微服務等。ZTX對各種場景下的工作負載進行統一的細粒度訪問控制,阻斷非必要的連接。

(5)設備:ZTX對設備的管理包括設備清單管理、設備認證、設備檢查與修復、設備隔離等。ZTX應當持續感知設備的安全狀態,根據安全策略限制設備對數據資源的訪問,確保只有安全的設備才能接入網絡。

(6)可見性與分析:ZTX應當支持對多個來源的身份信息、環境信息、安全信息進行綜合分析,并進行可視化呈現。

(7)自動化與編排:ZTX應該能夠通過機器學習或規則匹配自動識別安全事件,通過安全策略編排,與各類安全設備聯動,自動對安全事件進行響應。

從上面的介紹可以看出,ZTX的內涵已經相當豐富了,但Forrester不甘寂寞,又提出了零信任邊緣(Zero Trust Edge,ZTE)的概念。ZTE通過云原生的中心網關進行安全過濾,以便提供更靈活、擴展性更強的安全服務。SASE和ZTE的更多詳情將在4.8節介紹。

主站蜘蛛池模板: 萍乡市| 肥西县| 嘉义县| 陇南市| 许昌县| 合水县| 方正县| 鹤峰县| 汉源县| 根河市| 南皮县| 东辽县| 通城县| 黄石市| 同德县| 通辽市| 辽源市| 赤峰市| 扎赉特旗| 大同市| 鄂托克旗| 安平县| 银川市| 遂平县| 资兴市| 文登市| 榆树市| 城市| 沧源| 定日县| 庆城县| 宝应县| 天祝| 阳新县| 四子王旗| 玉林市| 邯郸市| 陈巴尔虎旗| 山西省| 瓦房店市| 喀什市|