近日,云安全联盟CSA在中以(上海)创新园举办了“2020云安全联盟大中华区大会(CSA GCR Congress)”。云深互联CEO陈本峰在此次大会上被云安全联盟CSA授予主席特别奖。
云深互联CEO陈本峰多年来一直植根于零信任技术领域的研究,是中国首个零信任安全专家认证《CZTP》教材及考题编委会的主编,同时也是国际云安全联盟CSA(大中华区)SDP工作组组长。
作为工作组的组长,陈本峰带领工作组翻译编写了《SDP安全架构技术指南》、《NIST零信任架构》标准文档、《软件定义边界(SDP)标准规范文档1.0》、《软件定义边界(SDP)安全架构指南》、《SDP实现等保2.0合规技术指南》、《软件定义边界SDP帮助企业安全迁移上云(IasS)》、《软件定义边界作为分布式拒绝服务(DDoS)攻击的防御机制》等行业白皮书。为行业的发展提供了一些技术规范和指导。
陈本峰表示,零信任是一种基于严格身份验证过程的网络安全模型。该框架规定,只有经过身份验证和授权的用户和设备才能访问应用程序和数据。同时,它可以保护这些应用程序和用户免受互联网上高级威胁的侵害。该模型可以更有效地适应现代环境的复杂性,无论人在何处,都可以有效的保护设备、应用程序和数据安全,对于数字化转型及企业网络安全架构来说,都越来越重要。
而且,“零信任安全的中心是数据。传统的防火墙或者密码策略并不能有效的阻止外部攻击,而零信任框架可以针对数据泄露和网络威胁提供可靠的防御。熟悉了解零信任的工作原理及模型原则,可以对安全防御有更多的了解。”那么,到底什么是零信任安全模型呢?
零信任安全的工作原理
零信任安全是涉及多种技术和流程的网络安全方法,而且前面讲到,它的核心是数据安全性。所以,数据安全是零信任架构的重点领域。包括Forrester也建议针对重点领域需建立最佳的零信任安全策略。
· 零信任数据:零信任首先要保护数据,然后再构建其他安全层。由于数据是攻击者和内部威胁的最终目标,因此,零信任框架的第一关注点就是数据。需要对数据进行实时监测和响应。
· 零信任网络:零信任技术可以对网络进行分段、隔离和限制,阻止攻击者进入网络窃取数据。
· 零信任人员:网络安全其实是人的安全,人是安全策略中最薄弱的环节。零信任模型没有假设公司防火墙后面的所有信息都是安全的,而是假设违规并验证每个请求,就像它是来自开放网络一样。无论请求来自何处或访问什么资源,零信任都会教我们“永远不要信任,永远要验证”。在授予访问权限之前,每个访问请求都经过完全身份验证,授权和加密。微隔离和特权最小的访问原理被应用以最小化横向移动。丰富的情报和分析功能可用于实时检测和响应异常。
· 零信任工作负载:工作负载是基础架构和运营团队所使用的术语,意指使您的客户与您的业务交互的整个应用程序和后端软件堆栈,从存储到操作系统到Web前端,将整个堆栈视为威胁,并使用符合“零信任”标准的控件对其进行保护。
· 零信任设备:由于网络上设备的数量在过去几年中呈爆炸式增长,而这些连接的设备中的每一个都可以作为攻击者渗入网络的入口点。所以,零信任安全团队应该能够隔离,保护和控制网络上的每台设备。
· 可见性分析:高级威胁检测和用户行为分析是掌握网络中任何潜在威胁的关键,便于实时识别异常行为。执行“零信任”原则,可以让安全事件响应团队及时了解网络中发生的事情,并进行分析。
· 自动化和编排:自动化有助于零信任安全系统的正常运行,并执行零信任策略。
零信任安全模型的3条原则
零信任是一种基于严格身份验证过程的网络安全模型。其有3个基本原则:
1.对资源访问进行身份验证
零信任的第一基本原理是对资源访问进行身份验证。我们必须假定在访问网络时都是具有威胁的,所以每次用户在访问共享文件、应用程序、云存储设备时,都需要重新进行验证。
2.采用最小特权模型并执行访问控制
最低权限的访问模式是一种安全模式,因为通过限制每个用户的访问权限,可以防止攻击者使用一个受感染的帐户来访问大量数据。
3.检查并记录所有内容
零信任原则要求检查和验证所有内容。记录每个网络呼叫,文件访问和电子邮件中是否存在恶意行为,这样可以分辨出正常登录或异常登录之间的区别。
未来云深互联CEO陈本峰将继续带领云深互联专注于零信任领域,为客户提供一站式安全云平台,帮助客户实现全局视角、真正的全局安全,为国家信息安全的发展贡献一份力量。
