1.1.4 Forrester對零信任概念的豐富
在2010年提出零信任概念后,Forrester一直不斷完善零信任的概念。幾年后,著名的分析師 Chase Cunningham 將之重新修訂為零信任擴展生態系統(Zero Trust eXtended(ZTX) Ecosystem)。與原來的概念相比,ZTX將零信任架構的范圍擴展到7個維度,整個模型更加豐富了,如圖1-3所示。數據是零信任架構保護的核心目標。工作負載(Workload)、網絡、設備和用戶是“接觸—數據”的管道,零信任架構圍繞這些管道執行安全管控策略、展示安全態勢。

圖1-3
下面依次介紹ZTX包含的7個維度的內容。
(1)數據:ZTX應當對整個數據生命周期進行保護。基于用戶、設備、環境等多種因素進行綜合評估后,執行數據分類、加密、訪問控制安全措施。數據泄密防護(D Prevention,DLP)也應當屬于零信任架構的一部分。
(2)網絡:ZTX應當對用戶和服務器分別進行網絡隔離,基于身份和環境屬性,提供細粒度訪問控制。傳統網絡安全模型中的邊界安全產品也應當在零信任架構中發揮作用。
(3)用戶:ZTX包含身份管理功能,通過多因子認證、單點登錄等策略,減少與用戶身份相關的威脅。
(4)工作負載:工作負載指承載業務服務的基本組件單元,例如,傳統的物理機、虛擬機,現在的云主機、Docker容器、微服務等。ZTX對各種場景下的工作負載進行統一的細粒度訪問控制,阻斷非必要的連接。
(5)設備:ZTX對設備的管理包括設備清單管理、設備認證、設備檢查與修復、設備隔離等。ZTX應當持續感知設備的安全狀態,根據安全策略限制設備對數據資源的訪問,確保只有安全的設備才能接入網絡。
(6)可見性與分析:ZTX應當支持對多個來源的身份信息、環境信息、安全信息進行綜合分析,并進行可視化呈現。
(7)自動化與編排:ZTX應該能夠通過機器學習或規則匹配自動識別安全事件,通過安全策略編排,與各類安全設備聯動,自動對安全事件進行響應。
從上面的介紹可以看出,ZTX的內涵已經相當豐富了,但Forrester不甘寂寞,又提出了零信任邊緣(Zero Trust Edge,ZTE)的概念。ZTE通過云原生的中心網關進行安全過濾,以便提供更靈活、擴展性更強的安全服務。SASE和ZTE的更多詳情將在4.8節介紹。
- Rootkit和Bootkit:現代惡意軟件逆向分析和下一代威脅
- 等級保護測評理論及應用
- Web安全與攻防入門很輕松(實戰超值版)
- Applied Network Security
- 網絡安全大數據分析與實戰
- 網絡關鍵設備安全檢測實施指南
- Bug Bounty Hunting Essentials
- 白話零信任
- 企業數據安全防護指南
- 聯邦學習原理與算法
- Web代碼安全漏洞深度剖析
- 計算機系統與網絡安全研究
- Practical Mobile Forensics
- Developing Applications with Salesforce Chatter
- INSTANT Microsoft Forefront UAG Mobile Configuration Starter