网络信息安全零信任产生的原因?
对于资源访问保护,通常的方法是区分安全区域。根据不同的安全区域,安全要求各不相同,安全区域之间形成网络边界。通过部署防病毒墙、WAF和其他边境保护设备,我们可以防止边境外的各种攻击,并为企业构建互联网安全系统。这种传统的方法可以被描述为一种边境保护的概念。
在边界安全概念中,网络的位置决定了信任程度。基本上,安全区域之外的用户不受信任(不安全),并且访问权限有限。想要访问本国网络的海外用户必须使用防火墙和VPN等安全机制。默认情况下,安全区域中的用户是受信任的(安全的)。不再对安全区域中的用户行为进行过度的行为监控,但每个安全区域都存在过度的信任问题(过度的安全和过度的权限)。
由于边界安全设备部署在网络边界上,终端和资源终端的数据不足,它们之间没有交互,因此,对威胁的安全分析还不够全面。内幕威胁检测和保护功能的不足以及安全分析适用范围的不足,使其成为边界安全方法的固有弱点。许多公司即使粗略区分了内部网和外部网(Internet),这种风险也更加明显。
随着云计算、物联网、移动办公等新技术和应用的出现,公司的业务结构和网络环境发生了重大变化,对传统的边界安全理念提出了新的挑战。例如,云计算技术的普及导致了物理安全边界的模糊,它带来了通信和多边协作等标准化挑战。这增加了访问要求的复杂性和内部资源风险的风险。各种设备(BYOD、合作伙伴设备)和各种人员访问会增加设备和人员管理的难度,并带来安全因素失控等风险。高级威胁攻击(钓鱼攻击、水坑攻击、0天漏洞攻击等)有破坏边境保护机制的风险。这些挑战了传统的边界安全概念和方法,包括使用边防警卫、简单的用户身份验证、静态和组装访问控制,迫切需要更好的安全概念和解决方案。
传统的边界安全概念有其固有的局限性。新技术和新应用带来了新的安全挑战。考虑到这一点,ZeroTrust的最初原型出现在2004年成立的杰里科论坛上。其使命是找到一种符合网络趋势的无限解决方案,定义网络安全问题,并提出基于网络位置的隐含信任限制。为了解决全球信息网格(美国军事信息战计划中非常重要的基础设施)中网络的实时动态编程和重建问题,国防信息系统局(DISA)启动了黑芯项目。提出了一个概念。这一概念后来被云安全联盟采纳。
2010年,知名研究机构Forester的首席分析师John Kindertag首次提出了网络信息安全零信任的概念。谷歌率先将这一概念应用于Beyond Cob项目,有效解决了边界安全概念难以解决的安全问题。
