对于“零信任网络”来说,顾名思义,其本质是不要轻易相信任何连接在网络上的要素,包括其组织和人员。
广义上说,当我们深入理解了零信任理念、零信任模型,开始考虑并逐步建成了一个又一个零信任计算机信息系统时,我们的网络自然会演进为一张零信任网络。此时接入网络的系统,都能够根据身份数据、安全基础设施、风险分析数据等信息进行判断,进而动态执行业务系统安全策略,从而稳健运行。
狭义上说,对于任何一个组织而言,当构建起以身份为核心、以资源为中心的网络保护体系结构时,也就意味着组织的网络演进到了零信任网络形态。
零信任网络访问(ZeroTrust Network Access,ZTNA)也可以理解为零信任网络接入,是指通过安全的网络通道接入服务器资源,并提供持续的访问控制、安全评估及阻断。这一概念也来自Gartner公司,包括BeyondCorp、SDP(Software Defined Perimeter,软件定义边界)等不同的网络接入模型。
❑BeyondCorp模型是由谷歌开发的一种基于云的安全架构模型。其核心理念是弃用传统的基于网络边界的网络安全策略,而建立一种基于用户、设备和应用的安全策略。这种模型通过细化身份验证、设备健康检查和细粒度访问控制等手段来保护企业网络和数据。用户不再需要连接传统的VPN,而是直接通过云端应用进行访问和工作。
❑SDP模型是一种基于软件定义技术的新型网络安全架构,旨在通过建立一个可信边界来保护企业网络和资源。与传统的网络边界安全模型不同,SDP创建了一种虚拟的安全边界,只允许特定用户和设备访问指定的应用及数据,从而减少了网络攻击的风险。此外,SDP还通过数据加密和应用隔离等技术来加强数据安全性。
BeyondCorp和SDP都是更加灵活、安全且适应性更强的网络接入安全模型,能够让用户更加方便地访问企业网络和资源,同时增强了企业网络的安全性。