九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

對于谷歌公司的員工來說，無論在公司辦公樓、咖啡廳還是在家，訪問公司應(yīng)用都是一樣的：從外網(wǎng)訪問需要的 VPN 被廢棄，所有員工到企業(yè)應(yīng)用的連接都要進(jìn)行加密。目前谷歌所有面向員工的企業(yè)應(yīng)用都擁有公共IP地址，不再擁有受防火墻保護(hù)的企業(yè)級應(yīng)用，不再像有內(nèi)網(wǎng)外網(wǎng)之分的公司那樣，將應(yīng)用置于虛擬專用網(wǎng)中。

谷歌公司基礎(chǔ)架構(gòu)產(chǎn)品營銷負(fù)責(zé)人Neal Mueller將此稱為云安全的“新模式”。實(shí)際上，這種模式屬于業(yè)界所稱的“零信任網(wǎng)絡(luò)”或者“無邊界網(wǎng)絡(luò)”。

零信任架構(gòu)創(chuàng)始人JohnKindervag

零信任網(wǎng)絡(luò)（亦稱零信任架構(gòu)）模型是JohnKindervag于2010年創(chuàng)建的，當(dāng)時(shí)他還是研究機(jī)構(gòu)Forrester的首席分析師（現(xiàn)為PAN技術(shù)主管）。Google公司在2013年開始向零信任架構(gòu)轉(zhuǎn)型之后，帶動(dòng)“零信任”安全架構(gòu)的流行。

隨著零信任的支撐技術(shù)逐漸成為主流，隨著防護(hù)企業(yè)系統(tǒng)及數(shù)據(jù)安全的壓力越來越大，隨著網(wǎng)絡(luò)攻擊演變得更加復(fù)雜高端，零信任模型也在CIO、CISO和其他企業(yè)高管中間愈加流行了。Forrester認(rèn)為，3年內(nèi)零信任將成為網(wǎng)絡(luò)安全流行框架之一。

什么是零信任網(wǎng)絡(luò)

零信任是一個(gè)安全概念，中心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證。

簡言之，零信任的策略就是不相信任何人。除非網(wǎng)絡(luò)明確知道接入者的身份，否則任誰都別想進(jìn)入。什么IP地址、主機(jī)之類的，不知道用戶身份或者不清楚授權(quán)途徑的，統(tǒng)統(tǒng)不放進(jìn)來。用戶的訪問權(quán)限將不再受到地理位置的影響，但不同用戶將因自身不同的權(quán)限級別擁有不同的訪問資源，而過去從外網(wǎng)登陸內(nèi)網(wǎng)所需的VPN也將被一道廢棄。

這與無邊界網(wǎng)絡(luò)概念有點(diǎn)類似。在無邊界網(wǎng)絡(luò)概念中，最終用戶并不是所有都位于辦公室以及防火墻后，而是在遠(yuǎn)程工作，使用他們的iPad或者其他移動(dòng)設(shè)備。你需要了解他們角色的更多信息，并明確哪些用戶被允許連接網(wǎng)絡(luò)來工作。

選擇零信任網(wǎng)絡(luò)的背后

為什么要用零信任？可以看看下面一組統(tǒng)計(jì)數(shù)據(jù)：

美國網(wǎng)絡(luò)安全公司 CybersecurityVentures 發(fā)布的《2017年度網(wǎng)絡(luò)犯罪報(bào)告》預(yù)測，到2021年，網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6萬億美元/年，比2015年的3萬億美元足足翻了一倍。

同時(shí)，波耐蒙研究所在IBM資助下所做的《2017數(shù)據(jù)泄露研究》發(fā)現(xiàn)，數(shù)據(jù)泄露事件所致平均損失為362萬美元。盡管該數(shù)字比上一年有所下降，但數(shù)據(jù)泄露事件的平均規(guī)模卻上升了1.8%，達(dá)到了平均每起事件泄露2.4萬條記錄之多。

而且，這些數(shù)據(jù)還是在公司企業(yè)對網(wǎng)絡(luò)安全工作投入越來越多的情況下取得的?？萍佳芯颗c咨詢公司Gartner將2017年全球信息安全產(chǎn)品及服務(wù)開支標(biāo)定在864億美元上，比2016年增長了7%。這家公司還預(yù)計(jì)，到2018年，信息安全開支會(huì)達(dá)到930億美元。

企業(yè)高管們認(rèn)識到了現(xiàn)有安全方法并不足以應(yīng)對愈趨嚴(yán)峻的安全態(tài)勢，他們需要更好的東西，而零信任模型恰好就能得到最好的結(jié)果。

Neal Mueller表示，谷歌認(rèn)為防護(hù)墻已經(jīng)不能發(fā)揮作用。與其用VPN防護(hù)所有的基礎(chǔ)架構(gòu)，谷歌決定完全放棄防護(hù)墻。

為新世界而生的安全

零信任模型基本上打破了舊式邊界防護(hù)思維。舊有思維專注防御邊界，假定已經(jīng)在邊界內(nèi)的任何事物都不會(huì)造成威脅，因而邊界內(nèi)部事物基本暢通無阻，全都擁有訪問權(quán)限。

但安全專家和技術(shù)專家并不認(rèn)同邊界防御的效果。他們指出，最嚴(yán)重的幾起數(shù)據(jù)泄露事件都是因?yàn)楹诳瓦M(jìn)入公司防火墻之后基本沒遇到什么阻礙就能在內(nèi)部系統(tǒng)中來去自如。

IT系統(tǒng)的一個(gè)固有問題在于，太多東西可以經(jīng)由默認(rèn)連接四處巡游。人們的信任太過寬泛，這是互聯(lián)網(wǎng)得以騰飛的原因所在，因?yàn)槊總€(gè)人都可以在任何時(shí)間共享任意東西。但這也是互聯(lián)網(wǎng)安全的癥結(jié)所在：如果你信任所有東西，你就沒機(jī)會(huì)保住任何東西的安全。

黑客和惡意威脅并非驅(qū)動(dòng)零信任模型的唯一因素。

今天的企業(yè)IT部門為什么需要新安全思維？很大程度上是因?yàn)檫吔缫呀?jīng)不存在了。純內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在，企業(yè)應(yīng)用一部分在辦公樓里，一部分在云端——分布各地的雇員、合作伙伴和客戶通過各種各樣的設(shè)備訪問云端應(yīng)用。

所有這些宏觀變化都推動(dòng)了零信任這一新模型的流行。

面對工作流的移動(dòng)化和云端化，我們難免捫心自問：“新形勢下我們該如何保護(hù)自身安全呢？”新世界里，防火墻已經(jīng)逼近到了需要保護(hù)的資產(chǎn)身邊。

谷歌BeyondCorp實(shí)踐

谷歌公司稱，在2009年經(jīng)歷高度復(fù)雜的APT攻擊——極光行動(dòng)（Operation Aurora）后，該公司對員工與設(shè)備如何訪問內(nèi)部應(yīng)用的安全架構(gòu)，開始嘗試重新設(shè)計(jì)。由此，零信任架構(gòu)BeyondCorp開始萌芽。

與傳統(tǒng)的邊界安全模式不同，BeyondCorp摒棄了將網(wǎng)絡(luò)隔離作為防護(hù)敏感資源的主要機(jī)制。取而代之的是，所有的應(yīng)用都部署在公網(wǎng)上，通過用戶與設(shè)備為中心的認(rèn)證與授權(quán)工作流進(jìn)行訪問。

這就意味著，作為零信任安全架構(gòu)的BeyondCorp，將訪問控制權(quán)從邊界轉(zhuǎn)移到個(gè)人設(shè)備與用戶上。由此員工可以實(shí)現(xiàn)在任何地點(diǎn)的安全訪問，無需傳統(tǒng)的VPN。

谷歌的零信任安全架構(gòu)涉及復(fù)雜的庫存管理，記錄具體誰擁有網(wǎng)絡(luò)里的哪臺設(shè)備。設(shè)備庫存服務(wù)來從多個(gè)系統(tǒng)管理渠道搜集每個(gè)設(shè)備的各種實(shí)時(shí)信息，比如活動(dòng)目錄（Active Directory） 或 Puppet.

對于用戶的認(rèn)證則基于一套代表敏感程度的信任層。無論員工使用什么設(shè)備或身處何處，都能得到相應(yīng)的訪問權(quán)限。低層次的訪問不需要對設(shè)備做太嚴(yán)格的審核。

谷歌企業(yè)項(xiàng)目經(jīng)理Max Saltonstall表示，對于訪問授權(quán)是基于上下文：“你是誰，是否經(jīng)過嚴(yán)格認(rèn)證？ 你使用什么設(shè)備？對你的設(shè)備了解情況如何？”

在谷歌網(wǎng)絡(luò)中不存在特權(quán)用戶。谷歌使用安全密鑰進(jìn)行身份管理，比密碼更難偽造。每個(gè)入網(wǎng)的設(shè)備都有谷歌頒發(fā)的證書。網(wǎng)絡(luò)的加密則是通過TLS（傳輸層安全協(xié)議）來實(shí)現(xiàn)。

與傳統(tǒng)的邊界安全模型不同，BeyondCorp不是以用戶的物理登錄地點(diǎn)或來源網(wǎng)絡(luò)作為訪問服務(wù)或工具的判定標(biāo)準(zhǔn)，其訪問策略是建立在設(shè)備信息、狀態(tài)和關(guān)聯(lián)用戶的基礎(chǔ)上，更偏向用戶行為和設(shè)備狀態(tài)的分析。

據(jù)了解，谷歌BeyondCorp的主要包括三大指導(dǎo)原則：

• 無邊界設(shè)計(jì)

從特定網(wǎng)絡(luò)連接，與你能獲得的服務(wù)沒有關(guān)系。.

• 上下文感知

根據(jù)對用戶與設(shè)備的了解，來授予所獲得的服務(wù)。

• 動(dòng)態(tài)訪問控制

所有對服務(wù)的訪問必須經(jīng)過認(rèn)證、授權(quán)和加密.

零信任背后的技術(shù)

在各種各樣的現(xiàn)有技術(shù)和監(jiān)管過程支撐之下，零信任方法才得以完成保護(hù)企業(yè)IT環(huán)境的使命。

它需要企業(yè)根據(jù)用戶、用戶所處位置和其他數(shù)據(jù)等條件，利用微分隔和細(xì)粒度邊界規(guī)則，來確定是否信任請求企業(yè)特定范圍訪問權(quán)的用戶/主機(jī)/應(yīng)用。

• 首先，要弄清楚用戶身份，確保用戶真的是他/她所聲稱的那個(gè)人；

• 然后，要保證用戶所用終端是安全終端，或者該終端處在安全狀態(tài)；

• 最后，還要有個(gè)條件策略，指定哪些人能訪問哪些東西。

零信任依靠多因子身份認(rèn)證、身份與訪問管理(IAM)、編排、分析、加密、安全評級和文件系統(tǒng)權(quán)限等技術(shù)來做上述工作。最小權(quán)限原則也是零信任倚賴的監(jiān)管策略之一，也就是只賦予用戶完成特定工作所需的最小訪問權(quán)限。

基本上，零信任就是公司企業(yè)收回安全戰(zhàn)場控制權(quán)，在各部門應(yīng)用網(wǎng)絡(luò)分隔和下一代防火墻，控制網(wǎng)絡(luò)接入的身份、對象、地點(diǎn)和時(shí)間，是從內(nèi)而外地施行控制，而不是由外而內(nèi)。

現(xiàn)今的大部分IT場景中，零信任不僅僅是技術(shù)，還有關(guān)思維和過程。

如何實(shí)現(xiàn)零信任

部分企業(yè)的IT部門已經(jīng)實(shí)現(xiàn)了零信任的很多方面。他們通常已經(jīng)部署了多因子身份驗(yàn)證、IAM和權(quán)限管理。其環(huán)境中也越來越多地實(shí)現(xiàn)了微分隔。

但建立零信任環(huán)境不僅僅是實(shí)現(xiàn)這些單個(gè)技術(shù)，而是應(yīng)用這些技術(shù)來施行“無法證明可被信任即無法獲得權(quán)限”的理念。企業(yè)得從戰(zhàn)略上確定哪些技術(shù)有助實(shí)現(xiàn)這一理念，然后再去買入這些技術(shù)。

在技術(shù)的應(yīng)用上最忌諱病急亂投醫(yī)，與其期待亂買來的藥能治好病，不如先好好診斷診斷，弄清楚自身情況再采用相應(yīng)的技術(shù)。轉(zhuǎn)向零信任模型不是一朝一夕之功，也不是件容易的事兒，尤其是在有不適應(yīng)該新模型的遺留系統(tǒng)的時(shí)候。

很多公司都在向云端遷移，這是個(gè)全新的環(huán)境，很適合應(yīng)用零信任模型，可以從云端開始零信任旅程。公司企業(yè)，尤其是有著復(fù)雜IT環(huán)境和大量遺留系統(tǒng)的大型企業(yè)，應(yīng)將零信任遷移看做是多階段跨年度的一項(xiàng)工程。

零信任遷移中的另一項(xiàng)挑戰(zhàn)，是讓員工具備該新理念的思維方式。

比較不幸的是，大多數(shù)企業(yè)IT專家接受的教育或培訓(xùn)讓他們默認(rèn)企業(yè)環(huán)境是可信的，他們被教導(dǎo)得想當(dāng)然地認(rèn)為防火墻能將壞人擋在外面。人們需要調(diào)整自己的思維模式，要清楚當(dāng)前態(tài)勢下壞人可能早就在自家環(huán)境中了。

公司企業(yè)還需認(rèn)識到，零信任與其他成功的IT或安全原則一樣，需要長期堅(jiān)守，不斷維護(hù)，而且零信任工作中的某些部分會(huì)更具挑戰(zhàn)性。從傳統(tǒng)企業(yè)網(wǎng)絡(luò)遷移至BeyondCorp前，谷歌花費(fèi)兩年時(shí)間來創(chuàng)建用戶和設(shè)備信任庫，這是一個(gè)比較漫長的過程。谷歌實(shí)行BeyondCorp計(jì)劃離不開高層的支持，盡管該類型網(wǎng)絡(luò)維護(hù)成本較低，但對預(yù)算要求頗高。

比如說，微分區(qū)工作中，安全/IT團(tuán)隊(duì)就必須確保配置修改是恰當(dāng)?shù)模⒏虏煌８淖兊腎P數(shù)據(jù)以保證員工工作或企業(yè)交易所需訪問不被中斷。否則，企業(yè)可能會(huì)面臨工作阻塞問題。

很多公司都會(huì)想，遭遇惡意軟件導(dǎo)致業(yè)務(wù)中斷，和配置錯(cuò)誤導(dǎo)致停工一天，本質(zhì)上都不是什么好事。微分隔方法所需的持續(xù)維護(hù)可能會(huì)帶來很多臨時(shí)應(yīng)急的措施，或許會(huì)讓網(wǎng)絡(luò)更加脆弱。

在遺留系統(tǒng)和現(xiàn)有環(huán)境中整體應(yīng)用零信任模型所導(dǎo)致的復(fù)雜性，表明公司企業(yè)真的沒有做好完全實(shí)現(xiàn)該模型的準(zhǔn)備。

因此，公司企業(yè)最好是從設(shè)計(jì)上就打造零信任，而不是在原有基礎(chǔ)上修修補(bǔ)補(bǔ)。換句話說，應(yīng)將零信任模型作為公司整體數(shù)字轉(zhuǎn)型戰(zhàn)略的一部分，實(shí)現(xiàn)那些有助于在云遷移過程中達(dá)成零信任的技術(shù)，淘汰掉那些老舊的遺留系統(tǒng)。

而且，CISO、CIO和其他高管應(yīng)參與進(jìn)轉(zhuǎn)向零信任的過程中，這樣他們才能安排過程中各項(xiàng)事務(wù)的優(yōu)先級，確定哪些動(dòng)作應(yīng)盡快完成，而哪些部分可以先等等。

零信任遷移基本等同基礎(chǔ)設(shè)施轉(zhuǎn)型。信息安全并沒有跟上數(shù)字轉(zhuǎn)型/現(xiàn)代化環(huán)境的腳步。但企業(yè)必須轉(zhuǎn)換安全管理的方式。想要整體安全，想要有安全準(zhǔn)備度，就需要換一種思維方式。

無論是BeyondCorp還是其他零信任網(wǎng)絡(luò)架構(gòu)，都提供了一種新的安全模式，設(shè)備和用戶只能獲得經(jīng)過驗(yàn)證的資源，如此企業(yè)才構(gòu)建了更為安全的環(huán)境。