如何利用网络搭建“零信任”？4个窍门帮你搞定！

时间：2021-01-25 12:19:14 来源：作者：

零信任架构需要授予不多也不少的网络资源访问权限，以便人们可以完成工作和任务，网络本身可助一臂之力。

导语

简而言之，零信任度要求验证每个试图访问网络的用户和设备，并执行严格的访问控制和身份管理机制，以限制授权用户仅访问完成工作所需的那部分资源。

零信任是一种架构，因此市面上有许多潜在的解决方案，不过本文介绍的是适用于网络领域的解决方案。

最低权限

零信任的一个广泛原则是最低权限，即授予个人访问数量刚好的资源以执行工作的权限，数量不多也不少。做到这一点的一种方法是网络分段，它基于身份验证、信任、用户角色和拓扑结构，将网络分解成不连接的部分。如果实施得当，网络分段可以隔离某个网段上的主机，并最大程度地减少横向或东西向通信，从而在主机受到损害时限制附带损害的“影响范围”。由于主机和应用程序只能访问它们有权访问的有限资源，因此网络分段可以防止攻击者趁机进入网络的其余部分。

可以根据上下文将访问权限授予实体，允许实体访问资源：上下文是指个人是谁？使用什么设备访问网络？设备所在位置？如何联系以及为何需要访问等。

还有执行网络分段的其他方法。最古老的方法之一是物理隔离，即针对不同的安全级别搭建物理上分离的网络，这些网络有各自的专用服务器、电缆和网络设备。虽然这是一种久经考验的方法，但针对每个用户的信任级别和角色构建完全独立的环境可能非常费钱。

第二层分段

另一种方法是第二层分段，即最终用户及其设备通过设备和访问交换机之间的内联安全过滤机制来加以隔离。但是在每个用户和交换机之间安装防火墙可能非常烧钱。另一种方法是基于端口的网络访问控制，该方法基于身份验证或请求方证书授予访问权限，并将每个节点分配给第三层虚拟局域网（VLAN）。

这些类型的方法常常通过802.1x标准和可扩展身份验证协议在有线和无线访问网络上使用。然而，企业可能没有充分利用供应商的全套最终用户角色、身份验证登录信息、设备配置文件和高级流量过滤，根据用户的可信度级别对用户进行细分。如果需要，用户可以提高安全性。

第三层分段

创建应用程序隔离区的一种常用方法是，将访问电缆和端口分隔成第三层子网（VLAN），并执行内联过滤机制。过滤机制可以由路由器之类的网络设备来执行，也可以由对用户身份和角色有所感知的状态性防火墙或代理服务器来执行。一个典型的例子是标准的三层Web应用程序架构，其中Web服务器、应用程序服务器和数据库服务器都在单独的子网中。

采取相似思路的是网络切片，这是一种软件定义网络方法，即网络在逻辑上分为多个切片，类似虚拟路由和转发上下文。

这方面的一种现代方法是，为每台服务器分配其自己的IPv4子网或IPv6/64前缀，并让它向网络路由器通告其子网。该服务器子网内的所有流量都是该服务器内的本地流量，其他渗入的流量根本不会在该主机内的这个虚拟网络上传输。

将流量封装在IP网络上面运行的覆盖隧道中同样可以起到分隔网段的效果，这可以通过多种方式来完成，包括虚拟可扩展LAN、使用通用路由封装的网络虚拟化、通用网络虚拟化封装、无状态传输隧道和TCP分段卸载。

数据包标记（使用内部标识符标记数据包）可用于在接口之间建立信任关系，因而根据最终用户设备的身份和授权来隔离来自这些设备的数据包。可以用众多协议来标记，包括MPLS、802.1ad Q-in-Q、802.1AE macsec和Cisco TrustSec。分段路由是一种现代的方法，在IPv6数据包中使用特殊的路由报头来控制MPLS或IPv6网络上的通信路径。

NIST的建议

美国国家标准技术研究所（NIST）列举了零信任架构的逻辑组件，并提供了一些部署样式的定义。这包括基于策略决策点和策略执行点来验证和认证用户。这类似云安全联盟最初对于软件定义边界（SDP）的设想。

该方法需要用到SDP控制器，该控制器负责验证用户的身份，然后通知SDP网关根据用户的角色和授权允许访问特定的应用程序。这个过程可能使用老式的用户名和密码或新式的多因子验证（MFA）方法，新方法结合使用一次性密码、软件令牌、硬令牌、移动应用程序或文本消息。另一种方法名为单数据包授权或端口碰撞，使用客户端浏览器或应用程序将一组数据包发送到SDP控制器，SDP控制器负责识别用户及其设备。

市面上有众多的微分段、主机隔离和零信任网络方法。一些实施在网络设备中、服务器本身中、身份访问控制系统中或者中间设备（比如代理服务器和防火墙）中。零信任方法种类繁多，可以实施在主机操作系统中、软件容器虚拟网络中、虚拟机管理程序中或者拥有SDP或IAP的虚拟云基础架构中。

许多零信任方法还涉及最终用户节点上的软件代理以及X.509证书、相互TLS（mTLS）、单数据包身份验证（SPA）和MFA。并非所有这些方法都可以由网络管理员、服务器管理员或安全管理员完全自行实施。为了实现稳健的零信任网络架构，可以通过与跨部门的IT团队合作来实施这些技术。

作者：本文作者Scott Hogg是IPv6咨询和培训公司HexaBuild.io的联合创始人，他在云、网络和安全方面拥有超过25年的经验。

编译：沈建苗

原文网址：https://www.networkworld.com/article/3571453/how-the-network-can-support-zero-trust.html

微信排版：牛可歆

排版审核：刘沙

Tags：零信任点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com)，我们将及时更正、删除，谢谢。

▌相关推荐

身份难辨，零信任架构下如何设置访问权限？

“零信任”概念没有统一定义难理解？NIST（美国国家标准与技术研究院）梳理了7大“零信任”原则，帮助用户更好的保护网络安全。近年来，坊间不乏有关零信任的定义，你一定听到过诸如原...【详细内容】

2021-10-27　　Tags: 零信任点击:(33)　　评论:(0)　　加入收藏

等保2.0的解决方案，“零信任架构”SDP介绍

1、背景今天在杭州跟一个金融客户交流网络安全方面的需求，结合他们公司的安全标准，给他们推荐了SDP产品。下面稍微给大家介绍下SDP产品的一些细节内容。2019年底国家推出了《...【详细内容】

2021-02-25　　Tags: 零信任点击:(2255)　　评论:(0)　　加入收藏

如何利用网络搭建“零信任”？4个窍门帮你搞定！

零信任架构需要授予不多也不少的网络资源访问权限，以便人们可以完成工作和任务，网络本身可助一臂之力。导语简而言之，零信任度要求验证每个试图访问网络的用户和设备，并执行严格...【详细内容】

2021-01-25　　Tags: 零信任点击:(174)　　评论:(0)　　加入收藏

网络后沿：零信任网络架构

用过Windows Server操作系统的人肯定熟悉以下页面，系统自带的IE浏览器默认开启了增强的安全配置，打开所有链接都会被阻止。尤其是新装的操作系统需要装一些软件的时候，需要添加...【详细内容】

2020-09-15　　Tags: 零信任点击:(94)　　评论:(0)　　加入收藏

基于零信任的安全架构

引用本文：曾玲，刘星江.基于零信任的安全架构[J].通信技术，2020，53（07）：1750-1754.ZENG Ling,LIU Xing-jiang.Security Architecture Based on Zero Trust[J].Communications Techno...【详细内容】

2020-07-20　　Tags: 零信任点击:(105)　　评论:(0)　　加入收藏

零信任下的应用安全网关该如何建设？

零信任网络环境主要是由Google（BeyondVCorp架构）开始，目前国内很多厂商（360、新华三、安恒等）已有零信任的解决方案，如：360的零信任架构依托身份中心、业务安全访问及动态访问控制...【详细内容】

2019-12-30　　Tags: 零信任点击:(243)　　评论:(0)　　加入收藏

零信任的时代到来！VPN将逐渐被取代

传统的VPN正在被一种更智能、更安全的网络安全方法所取代，这种方法将每个人都视为不受信任的人。...【详细内容】

2019-12-20　　Tags: 零信任点击:(310)　　评论:(0)　　加入收藏

零信任网络架构设计

昨天分享了一篇关于可信计算文章，今天分享关于零信任网络架构设计文章，本人不太愿意写细节文章，主要是我们一起把思路理顺，后期落地有方向即可，如有错误或不够细节地方，还请见谅，有...【详细内容】

2019-11-13　　Tags: 零信任点击:(105)　　评论:(0)　　加入收藏

▌简易百科推荐

shell练习之获取本机ip地址、网关、dns信息

写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址，windows一个命令ipconfig /all全部获取到，但linux系统却并非如此。linux系统都自带ifc...【详细内容】

2021-12-27　　K佬食古　　　　Tags:shell 　点击:(1)　　评论:(0)　　加入收藏

Centos6下网卡启动、配置ifcfg-eth0教程

步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情：[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】

2021-12-24　　忆梦如风　　　　Tags:网卡　点击:(9)　　评论:(0)　　加入收藏

运维需要掌握的 17 个实用技巧

1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解：find –name 主要用于查找某个文件名字，-exec 、xargs可...【详细内容】

2021-12-17　　郭主任　　　　Tags:运维　点击:(18)　　评论:(0)　　加入收藏

电脑有网络但网页无法打开是什么原因，电脑网友打不开怎么解决

对于经常上网的朋友来说，除了手机购物上网，pc端玩网页游戏还是很多小伙伴首选的，但是有时候明明宽带链接上了，打开浏览器却出现上不了网的现象，下面小编要来跟大家说说电脑有网络...【详细内容】

2021-12-16　　小白系统　　　　Tags:网页无法打开　点击:(28)　　评论:(0)　　加入收藏

访问外网很慢，怎么办？

在访问像github、gitlab这样的外国网站时，很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题，于是把Wifi断掉连上自己手机的热点，结果却还...【详细内容】

2021-12-15　　启施技术IT狼叔　　　　Tags:外网　点击:(14)　　评论:(0)　　加入收藏

PHP&Python获取当前网络外网ip地址

网络地址来源：获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】

2021-12-15　　韦廷华12　　　　Tags:外网ip 　点击:(14)　　评论:(0)　　加入收藏

交换机与本地计算机FTP服务端之间的文件互传功能

准备好软件IPOP、用ENSP模拟一下华为交换机启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】

2021-12-15　　思源Edward　　　　Tags:交换机　点击:(22)　　评论:(0)　　加入收藏

shell练习之分析netstat结果

我们经常用到netstat命令查看主机连接状况，包括连接ip、端口、状态等，今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里，格式如下：Pro...【详细内容】

2021-12-14　　K佬食古　　　　Tags:netstat 　点击:(19)　　评论:(0)　　加入收藏

一文带你搞定TCP滑动窗口

什么是滑动窗口？窗口是操作系统开辟的一块缓存空间，发送方在收到接收方ACK应答之前，必须在缓冲区保留已发送的数据，如果按期收到确认应答，数据就可以从缓冲区移除。什么是滑动窗...【详细内容】

2021-12-14　　DifferentJava　　　　Tags:TCP 　点击:(28)　　评论:(0)　　加入收藏

清除华为路由交换设备console登录密码

概述日常管理华为路由设备过程中，难为会忘记设备登录密码，那么该如何重置设备登录密码吗？本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行采用console登录...【详细内容】

2021-12-10　　onme0　　　　Tags: 　点击:(26)　　评论:(0)　　加入收藏

推荐资讯

远程软件发展迅猛，ToDe	倒计时！企业QQ即将下架
极简Windows11与iPhon	iPhone信号问题，花10元
惊人数据：App Store中4	个人所得税递延纳税报
非常实用的 Python 库	等离子电视技术先进，为