2021-02-09 分類: 網(wǎng)站建設(shè)
在網(wǎng)絡(luò)監(jiān)控?zé)o處不在的時代,很難確定誰是值得信任的。我們能相信互聯(lián)網(wǎng)流量沒有被監(jiān)聽嗎?當(dāng)然不能!我們既無法信任提供光纖租用的互聯(lián)網(wǎng)服務(wù)商,也無法信任昨天在數(shù)據(jù)中心布線的合同工。“數(shù)據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量是可信的”這一假設(shè)是不正確的。現(xiàn)代的網(wǎng)絡(luò)設(shè)計和應(yīng)用模式,已經(jīng)使得傳統(tǒng)的、基于網(wǎng)絡(luò)邊界的安全防護模式逐漸失去原有的價值。因此,網(wǎng)絡(luò)邊界的安全防護一旦被突破,即使只有一臺計算機被攻陷,攻擊者也能夠在“安全的”數(shù)據(jù)中心內(nèi)部自由移動。
零信任模型旨在解決“基于網(wǎng)絡(luò)邊界建立信任”這種理念本身固有的問題。零信任模型沒有基于網(wǎng)絡(luò)位置建立信任,而是在不依賴網(wǎng)絡(luò)傳輸層物理安全機制的前提下,有效地保護網(wǎng)絡(luò)通信和業(yè)務(wù)訪問。零信任模型并不是不切實際的設(shè)想,利用已經(jīng)成熟的加密技術(shù)和自動化系統(tǒng),這一愿景完全可以實現(xiàn)。
零信任網(wǎng)絡(luò)的概念建立在以下 5 個基本假定之上。
傳統(tǒng)的網(wǎng)絡(luò)安全結(jié)構(gòu)把不同的網(wǎng)絡(luò)(或者單個網(wǎng)絡(luò)的一部分)劃分為不同的區(qū)域,不同區(qū)域之間使用防火墻進行隔離。每個區(qū)域都被授予某種程度的信任,它決定了哪些網(wǎng)絡(luò)資源允許被訪問。這種安全模型提供了非常強大的縱深防御能力。比如,互聯(lián)網(wǎng)可訪問的 Web 服務(wù)器等高風(fēng)險的網(wǎng)絡(luò)資源,被部署在特定的區(qū)域(一般稱為“隔離區(qū)”,DMZ),該區(qū)域的網(wǎng)絡(luò)流量被嚴(yán)密監(jiān)控和嚴(yán)格控制。這是一種常見的網(wǎng)絡(luò)安全架構(gòu),如圖 1-1 所示。
圖 1-1 傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)
零信任模型徹底改變了這種安全架構(gòu)。傳統(tǒng)的網(wǎng)絡(luò)分區(qū)與隔離安全模型在過去發(fā)揮了積極作用,但是現(xiàn)在卻疲于應(yīng)對高級的網(wǎng)絡(luò)攻擊。傳統(tǒng)的安全模型主要有以下缺點。
需要關(guān)注的是,如果基于網(wǎng)絡(luò)位置劃分區(qū)域的需求消失了,那么對 VPN 的需求也就消失了。VPN 的作用是對用戶進行身份認(rèn)證并分配 IP 地址,然后建立加密的傳輸隧道。用戶的訪問流量通過隧道傳輸?shù)竭h(yuǎn)程網(wǎng)絡(luò),然后進行數(shù)據(jù)包的
解封裝和路由。或許人們從來沒有想過,在某種程度上,VPN 是一種不會遭人懷疑的后門。
如果網(wǎng)絡(luò)的位置對于網(wǎng)絡(luò)安全失去價值,那么諸如 VPN 等網(wǎng)絡(luò)安全設(shè)備也會失去其原有的價值。當(dāng)然,這也迫使我們把安全控制的實施點盡可能地前推到網(wǎng)絡(luò)邊緣,這同時也減輕了網(wǎng)絡(luò)核心設(shè)備的安全責(zé)任。此外,大多數(shù)主流的操作系統(tǒng)都支持狀態(tài)防火墻,交換和路由技術(shù)的進展也為在網(wǎng)絡(luò)邊緣部署高級功能創(chuàng)造了機會。將所有這些改變帶來的收益匯集在一起,得出一個結(jié)論:是時候進行網(wǎng)絡(luò)安全架構(gòu)的范式轉(zhuǎn)換了。
利用分布式策略實施和應(yīng)用零信任原則,可以構(gòu)建如圖 1-2 所示的網(wǎng)絡(luò)安全 架構(gòu)。
圖 1-2 零信任架構(gòu)
零信任架構(gòu)的支撐系統(tǒng)稱為控制平面,其他部分稱為數(shù)據(jù)平面,數(shù)據(jù)平面由控制平面指揮和配置。訪問受保護資源的請求首先經(jīng)過控制平面處理,包括設(shè)備和用戶的身份認(rèn)證與授權(quán)。細(xì)粒度的控制策略也在這一層進行,控制平面可以基于組織中的角色、時間或設(shè)備類型進行授權(quán)。如果用戶需要訪問安全等級更高的資源,那么就需要執(zhí)行更高強度的認(rèn)證。
一旦控制平面完成檢查,確定該請求具備合法的授權(quán),它就會動態(tài)配置數(shù)據(jù)平面,接收來自該客戶端(且僅限該客戶端)的訪問流量。此外,控制平面還能夠為訪問請求者和被訪問的資源協(xié)調(diào)配置加密隧道的具體參數(shù),包括一次性的臨時憑證、密鑰和臨時端口號等。
雖然上述措施的安全強度有強弱之分,但基本的處理原則是不變的,即由一個權(quán)威的、可信的第三方基于多種輸入來執(zhí)行認(rèn)證、授權(quán)、實時的訪問控制等操作。
本書提到的傳統(tǒng)安全架構(gòu)通常是指“邊界安全模型”。該模型的基本思想與物理世界中通過修建城墻來保護城堡一樣,是通過構(gòu)建層層防線來保護網(wǎng)絡(luò)中的敏感資源。入侵者必須穿透這些防線,才能夠訪問敏感資源。遺憾的是,這種做法在計算機網(wǎng)絡(luò)場景下存在根本性的缺陷,實質(zhì)上無法保證敏感資源的安全性。為了充分理解這種缺陷,有必要回顧一下邊界安全模型出現(xiàn)的原因及其發(fā)展歷程。
1.2.1 管理全球 IP 地址空間
導(dǎo)致邊界安全模型出現(xiàn)的原因要從互聯(lián)網(wǎng)的 IP 地址分配開始說起。在互聯(lián)網(wǎng)發(fā)展的早期,越來越多的網(wǎng)絡(luò)連接在一起。在那個年代,互聯(lián)網(wǎng)還沒有大規(guī)模普及,一個網(wǎng)絡(luò)可能是連接到互聯(lián)網(wǎng),也可能是與其他業(yè)務(wù)部門、公司或是某個研究機構(gòu)的網(wǎng)絡(luò)相連。當(dāng)然,在任何 IP 網(wǎng)絡(luò)中,IP 地址都必須是唯一的。如果不同網(wǎng)絡(luò)的運營者使用了重疊的 IP 地址空間,那么他們必須花費很大的力氣進行修改。如果正在連接的網(wǎng)絡(luò)恰好是互聯(lián)網(wǎng),那么 IP 地址必須是全球唯一的。很顯然,網(wǎng)絡(luò)的 IP地址分配必須通過統(tǒng)一的協(xié)調(diào)。
互聯(lián)網(wǎng)號碼分配機構(gòu)(Internet Assigned Numbers Authority,IANA)于 1998 年正式成立,直到今天 IANA 仍然是 IP 地址分配的協(xié)調(diào)機構(gòu)。在 IANA 成立之前, IP 地址分配和協(xié)調(diào)的職責(zé)是由 Jon Postel 來承擔(dān)的,他繪制了如圖 1-3 所示的互聯(lián)網(wǎng)地圖。Jon 是 IP 地址所有權(quán)記錄的權(quán)威來源,如果你想確保自己的 IP地址是全球唯一的,那么就需要到他這里注冊。在那個時代,即使網(wǎng)絡(luò)暫時不
需要連接到互聯(lián)網(wǎng),也鼓勵人們?yōu)槠渥?IP 地址,因為說不定哪天這個網(wǎng)絡(luò)就
圖 1-3 Jon Postel 于 1982 年 2 月繪制的互聯(lián)網(wǎng)早期地圖
1.2.2 私有 IP 地址空間的誕生
20 世紀(jì) 80 年代末和 20 世紀(jì) 90 年代初,隨著 IP 網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍越來越廣,隨意使用 IP 地址空間成為一個嚴(yán)重的問題。許多網(wǎng)絡(luò)雖然事實上與互聯(lián)網(wǎng)隔離,但是卻有很大的 IP 地址空間需求,連接 ATM 的網(wǎng)絡(luò)、連接大型機場航班信息顯示屏的網(wǎng)絡(luò)等,都是典型的例子。出于各種原因,這些網(wǎng)絡(luò)的確需要與互聯(lián)網(wǎng)隔離,
有的設(shè)備因為需要滿足安全或隱私的要求而與互聯(lián)網(wǎng)隔離(如 ATM);有的設(shè)備功能非常有限,通過網(wǎng)絡(luò)大規(guī)模地連接起來意義不大(如機場的航班信息顯示屏)。
于是,私有互聯(lián)網(wǎng)地址分配標(biāo)準(zhǔn)——RFC 1597 誕生了,其目的是解決大量公共 IP地址空間的浪費問題。
1994 年 3 月,RFC 1597 宣布 IANA 為私有網(wǎng)絡(luò)保留 3 個 IP 地址范圍:10.0.0.0/8、 172.16.0.0/12 和 192.168.0.0/16。這樣可以確保大型私有網(wǎng)絡(luò)的地址空間不會超出分配的范圍,從而減緩公共 IP 地址空間的消耗,也使得網(wǎng)絡(luò)運營者能夠在適當(dāng)?shù)臅r候使用非全球唯一的 IP 地址。此外,私有 IP 地址空間的使用還產(chǎn)生了另外一個效果,而且直到今天仍然在發(fā)揮作用——使用私有地址空間的網(wǎng)絡(luò)更加安全,因為這些網(wǎng)絡(luò)無法連接到其他網(wǎng)絡(luò),特別是連接到互聯(lián)網(wǎng)。
在那個年代,連接到互聯(lián)網(wǎng)的組織相對來說比較少,因此,內(nèi)部網(wǎng)絡(luò)經(jīng)常使用保留的私有網(wǎng)絡(luò)地址空間。另外,網(wǎng)絡(luò)的安全防護措施也非常弱,甚至完全沒有,因為這些網(wǎng)絡(luò)在物理上通常位于一個組織的內(nèi)部,攻擊者很難接觸到。
1.2.3 私有網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)
互聯(lián)網(wǎng)應(yīng)用的發(fā)展非常迅速,很快大多數(shù)組織都希望以某種方式出現(xiàn)在互聯(lián)網(wǎng)上。電子郵件就是較早的互聯(lián)網(wǎng)應(yīng)用之一。人們希望能夠發(fā)送和接收電子郵件,這就意味著他們需要一個可公開訪問的郵件服務(wù)器,也意味著他們需要以某種方式連接到互聯(lián)網(wǎng)。
私有網(wǎng)絡(luò)中的郵件服務(wù)器一般情況下是唯一連接到互聯(lián)網(wǎng)的服務(wù)器,它通常有兩個網(wǎng)絡(luò)接口,一個連接互聯(lián)網(wǎng),一個連接內(nèi)部網(wǎng)絡(luò)。通過連接到互聯(lián)網(wǎng)的郵件服務(wù)器,私有網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和人員就能夠發(fā)送和接收互聯(lián)網(wǎng)電子郵件。
人們很快意識到,這些服務(wù)器實際上開辟了一條物理通道,把互聯(lián)網(wǎng)和安全的私有網(wǎng)絡(luò)連接了起來。如果攻擊者攻陷其中一臺服務(wù)器,那么他就能夠進入私有網(wǎng)絡(luò),因為私有網(wǎng)絡(luò)中的主機與連接互聯(lián)網(wǎng)的服務(wù)器之間是連通的。因此,出于安全的考慮,需要嚴(yán)格檢查這些服務(wù)器及其網(wǎng)絡(luò)連接。于是,網(wǎng)絡(luò)運營者在這些服務(wù)器的兩側(cè)部署了防火墻,用于控制網(wǎng)絡(luò)通信,阻止?jié)撛诘墓粽邚?/p>
互聯(lián)網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)的主機,如圖 1-4 所示。發(fā)展到這一步,邊界安全模型就誕生了。內(nèi)部網(wǎng)絡(luò)變成了“安全”的網(wǎng)絡(luò),受到嚴(yán)格控制的服務(wù)器所部署的位置成為 DMZ,即隔離區(qū)。
圖 1-4 互聯(lián)網(wǎng)和私有資源都可以訪問隔離區(qū)中的主機,但是私有資源的網(wǎng)絡(luò)訪問不能超出隔離區(qū),因此不
1.2.4 NAT 的誕生
由于需要從內(nèi)部網(wǎng)絡(luò)訪問的互聯(lián)網(wǎng)資源數(shù)量快速增長,因此,給內(nèi)部網(wǎng)絡(luò)資源賦予
訪問互聯(lián)網(wǎng)的權(quán)限,要比為每個應(yīng)用維護代理主機更加容易。NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)能夠很好地解決這個問題。
RFC 1631 為網(wǎng)絡(luò)設(shè)備定義了一個標(biāo)準(zhǔn),使其能夠在組織的網(wǎng)絡(luò)邊界執(zhí)行 IP 地址轉(zhuǎn)換。通過維護一張公共 IP/端口與私有 IP/端口的映射關(guān)系表,NAT 設(shè)備能夠使私有網(wǎng)絡(luò)中的設(shè)備訪問任意的互聯(lián)網(wǎng)資源。這種輕量級的映射關(guān)系與應(yīng)用程序無關(guān),也就是說,網(wǎng)絡(luò)運營者不再為每個應(yīng)用程序單獨配置互聯(lián)網(wǎng)連接,而只需要支持私有網(wǎng)絡(luò)的通用互聯(lián)網(wǎng)連接即可。
NAT 設(shè)備有一個很有趣的特性:因為 IP 地址映射關(guān)系是多對一的,所以源自互聯(lián)網(wǎng)的連接無法訪問內(nèi)部的私有 IP 地址,除非事先在 NAT 設(shè)備上進行專門的配置來處理這種特殊情況。因此,NAT 設(shè)備具有與狀態(tài)檢測防火墻相似的特性。事實上,防火墻設(shè)備也很快開始集成 NAT 功能,這兩個功能合二為一,基本上無法區(qū)分。這類設(shè)備既能支持網(wǎng)絡(luò)的連通功能,又能支持嚴(yán)格的安全控制,因此很快得到廣泛
應(yīng)用,幾乎每個組織的網(wǎng)絡(luò)邊界上都部署了防火墻設(shè)備,如圖 1-5 所示。
圖 1-5 簡化后的典型的邊界防火墻架構(gòu)設(shè)計
1.2.5 現(xiàn)代邊界安全模型
通過在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間部署防火墻/ NAT 設(shè)備,能夠清晰地劃分安全區(qū)域,包括組織內(nèi)部的“安全”區(qū)、隔離區(qū)和不可信區(qū)域(互聯(lián)網(wǎng))。如果一個組織的網(wǎng)絡(luò)需要與另一個組織的網(wǎng)絡(luò)互連,則只需要在兩個組織網(wǎng)絡(luò)的邊界處部署防火墻
/NAT 設(shè)備,這樣另一個組織的網(wǎng)絡(luò)就成為一個新的安全區(qū)域。然后,就像隔離區(qū)或安全區(qū)一樣,可以在邊界防火墻設(shè)備上配置特定的規(guī)則,規(guī)定不同區(qū)域之間允許或禁止哪種類型的網(wǎng)絡(luò)流量通過。
回顧過去,可以看到很明顯的進步。我們從離線/私有網(wǎng)絡(luò)中只有個別主機能夠連接互聯(lián)網(wǎng),發(fā)展到通過在網(wǎng)絡(luò)邊界部署安全設(shè)備來建立高度互聯(lián)的網(wǎng)絡(luò)。這種進步并不難理解,網(wǎng)絡(luò)運營者出于各種商業(yè)目的,必須讓內(nèi)部網(wǎng)絡(luò)中的服務(wù)器對互聯(lián)網(wǎng)
敞開大門,但是他們又不想失去私有網(wǎng)絡(luò)的安全性,而防火墻/NAT 設(shè)備能夠在網(wǎng)絡(luò)邊界進行嚴(yán)密的安全控制,極大地降低了安全風(fēng)險。
1.國內(nèi)首部介紹零信任網(wǎng)絡(luò)的專業(yè)技術(shù)圖書。
2.內(nèi)容全面豐富,是學(xué)習(xí)零信任網(wǎng)絡(luò)不可或缺的參考資料。
3.全面解析零信任網(wǎng)絡(luò)技術(shù),系統(tǒng)介紹構(gòu)建零信任網(wǎng)絡(luò)的方方面面。
保護網(wǎng)絡(luò)的邊界安全防御措施并不如人們想象中那么牢不可破。防火墻保護之下的網(wǎng)絡(luò)主機自身的安全防護非常弱,一旦“可信”網(wǎng)絡(luò)中的某個主機被攻陷,那么攻擊者很快就能以此為跳板,侵入數(shù)據(jù)中心。為解決傳統(tǒng)邊界安全模型固有的缺陷,本書為讀者介紹了零信任模型,該模型認(rèn)為整個網(wǎng)絡(luò)無論內(nèi)外都是不安全的,“可信”內(nèi)網(wǎng)中的主機面臨著與互聯(lián)網(wǎng)上的主機相同的安全威脅。
文章題目:什么是零信任網(wǎng)絡(luò)?這篇文章終于講透了
網(wǎng)頁鏈接:http://m.newbst.com/news/100036.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供Google、電子商務(wù)、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站排名、網(wǎng)站導(dǎo)航、微信公眾號
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容