網(wǎng)絡(luò)安全零信任網(wǎng)絡(luò)案例分析PPT_第1頁
網(wǎng)絡(luò)安全零信任網(wǎng)絡(luò)案例分析PPT_第2頁
網(wǎng)絡(luò)安全零信任網(wǎng)絡(luò)案例分析PPT_第3頁
網(wǎng)絡(luò)安全零信任網(wǎng)絡(luò)案例分析PPT_第4頁
網(wǎng)絡(luò)安全零信任網(wǎng)絡(luò)案例分析PPT_第5頁
已閱讀5頁,還剩11頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)安全“零信任網(wǎng)絡(luò)”案例分析ZeroTrustSecurity目錄CONTENTS

01傳統(tǒng)邊界安全架構(gòu)零信任網(wǎng)絡(luò)假設(shè)和基本概念Forrester與BeyondCorp零信任網(wǎng)絡(luò)的未來邊界安全架構(gòu)與零信任網(wǎng)絡(luò)零信任理念的最佳實(shí)踐以身份為基石進(jìn)行動態(tài)訪問控制未來已來,完整的解決方案和產(chǎn)品會是什么樣子?

020304兩個故事②疫情下,遠(yuǎn)程辦公的坎坷過程①一個看似正常的“運(yùn)維操作”=-10億市值01020304傳統(tǒng)邊界安全架構(gòu)內(nèi)網(wǎng)被認(rèn)為是可信區(qū)間(特權(quán)網(wǎng)絡(luò))外網(wǎng)內(nèi)網(wǎng)DMZ內(nèi)部用戶通常擁有“特權(quán)”Vpn配置復(fù)雜擁有明顯的物理安全邊界云計(jì)算,云服務(wù)0102030401020304ZERO?

“零信任網(wǎng)絡(luò)”到底是什么?

“網(wǎng)絡(luò)中心化”->”身份中心化“任何人在獲得訪問之前需要進(jìn)行授權(quán)需要不斷的確認(rèn)身份的正確性X沒有人是可以被天然信任的核心思想五個基本假定1

2345網(wǎng)絡(luò)無時(shí)不刻處于危險(xiǎn)的環(huán)境中網(wǎng)絡(luò)的位置不足以決定網(wǎng)絡(luò)的信任程度網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán)安全策略必須是動態(tài)的,并基于盡可能多的數(shù)據(jù)源計(jì)算而來以身份為基石,進(jìn)行動態(tài)可信訪問控制01020304零信任網(wǎng)絡(luò)安全架構(gòu)01020304向“最小權(quán)限”應(yīng)用程序訪問模式轉(zhuǎn)型零信任網(wǎng)絡(luò)安全架構(gòu)的特點(diǎn)持續(xù)身份認(rèn)證統(tǒng)一數(shù)字身份體系(ePASS)以身份為中心動態(tài)訪問控制業(yè)務(wù)安全訪問01020304BeyondCorp項(xiàng)目–背景極光攻擊一個經(jīng)典的APT攻擊2009年2010年2011年2014年有力推動重新搭建整體安全架構(gòu)轉(zhuǎn)移服務(wù)搜索服務(wù)由中國內(nèi)地轉(zhuǎn)至中國香港發(fā)表論文5篇BeyondCorp相關(guān)的論文2017年宣布成功宣布BeyondCorp項(xiàng)目成功完成01020304讓所有Google員工從不受信任的網(wǎng)絡(luò)中不接入VPN就能順利工作。BeyondCorp項(xiàng)目–目標(biāo)、內(nèi)容②準(zhǔn)確識別設(shè)備準(zhǔn)確識別用戶并移除對網(wǎng)絡(luò)的信任提供內(nèi)部應(yīng)用和工作流訪問控制動態(tài)更新①使用由公司提供且持續(xù)管理的設(shè)備通過身份認(rèn)證且符合訪問要求通過專門的訪問代理訪問特定的公司內(nèi)部資源用戶Google01020304“零信任模型”(ZeroTrustModel)圖(來源:BuildSecurityIntoYourNetwork’sDNA:TheZeroTrustNetworkArchitecture,ForresterResearch,Inc.)微隔離(microsegmentation)軟件定義邊界(SoftwareDefinedPerimeter,SDP)理念特點(diǎn)易于管理易于隔離具有多個并行的交換核心在單一控制臺集中式管理檢查并記錄所有網(wǎng)絡(luò)流量的日志驗(yàn)證并保護(hù)所有來源限制并嚴(yán)格執(zhí)行訪問控制01020304BeyondCorp與零信任模型BeyondCorpForrester的零信任模型VS理念一致:原本假設(shè)的信任并不存在,需要貫徹“最小特權(quán)原則”著眼于業(yè)務(wù)應(yīng)用關(guān)注網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)流量不可信,從而著眼的是對不同網(wǎng)絡(luò)流量的隔離,并分別進(jìn)行安全掃描和處理訪問代理側(cè)重網(wǎng)絡(luò)不可信,因而重點(diǎn)在于對人和設(shè)備的管理、認(rèn)證、授權(quán)和訪問控制隔離網(wǎng)關(guān)0102030401020304零信任的未來?零信任的未來?思科23.5億美元收購了身份安全廠商DUOMicrosoft推出了Azure的“零信任”產(chǎn)品Centrify、Okta等強(qiáng)調(diào)“以身份為基石”的理念新華三集團(tuán)為網(wǎng)絡(luò)安全大會在零信任安全領(lǐng)域準(zhǔn)備了方案奇安信身份安全實(shí)驗(yàn)室展現(xiàn)零信任網(wǎng)絡(luò)的概念01020304根據(jù)Forester2019年四季度的市場報(bào)告,目前全球市場上的零信任代表性廠商如右圖:Q&A參考文獻(xiàn)書籍如下:①GoogleBeyondCorp系列論文②EvanGilman和DougBarth:《零信任網(wǎng)絡(luò):在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論