几乎所有网络安全事故的调查都指出,黑客在完成攻击之前,甚至之后,曾长期潜伏在企业内网,利用内部系统漏洞和管理缺陷逐步获得高级权限
另一方面,内部人员的误操作和恶意破坏(Insider Threat,内部人威胁)一直是企业安全的巨大挑战,长期以来都没有好的解决方案。也就是说,认为企业内网是可信区域的传统看法是站不住脚的。
https://www.freebuf.com/column/172215.html
Forrester分析师John Kindervag提出了“零信任模型”(Zero Trust Model)
BeyondCorp构建了中心化的认证、授权和访问控制系统,从而真正彻底改变了企业的安全体系。
访问控制是企业信息安全的核心,而BeyondCorp对用户、设备和目标资源进行了统一管理,并采用集中的认证和授权机制,有效地控制着对所有目标资源的访问。通过实时更新用户、设备和资源信息,动态调整访问控制规则,BeyondCorp能够帮助企业实现及时、准确和全面的控制,从而建起真正有效的信息安全架构。
1)验证并保护所有来源,2)限制并严格执行访问控制,以及3)检查并记录所有网络流量的日志。
如隔离网关等,并逐渐获得了广泛的认可,且推动了微隔离(microsegmentation)和软件定义边界(Software Defined Perimeter,SDP)等相关技术的发展和应用。提出“零信任模型”的Forrester分析师John Kindervag在2017年加入了Palo Alto Networks,而相应的,以Palo Alto Networks为代表的安全厂商和VMware为代表的虚拟化/云基础技术提供商都已经推出了相关产品。
BeyondCorp和基于“零信任模型”的网络有一个明确的结合点,即BeyondCorp的“访问代理”与“零信任模型”中的“隔离网关”(segmentation gateway,SG)。尽管Google的BeyondCorp项目只重点实现了对HTTP和SSH等应用协议的支持,而Palo Alto Networks和VMware的“零信任模型”目前关注的还主要是普通防火墙工作的网络层,但不管是功能还是作用,二者都是高度一致的。随着下一代防火墙这些年的推广,以及Web应用特别是SaaS的广泛使用,对应用和网络的管理的边界早已模糊。如果我们再进一步考虑对云服务的使用和管理,特别是CASB(Cloud Access Security Broker,云访问安全代理),将看到BeyondCorp与“零信任模型”的共同理念下,未来企业安全的全新架构和应用。
原文:https://www.cnblogs.com/hshy/p/11981081.html