为应对新IT时代的网络安全挑战,零信任安全应运而生。零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010年,Forrester的分析师约翰·金德维格(John Kindervag)正式使用了零信任这个术语,金德维格在他的研究报告中指出,所有的网络流量都是不可信的,需要对访问任何资源的任何请求进行安全控制。
传统的基于边界的网络安全架构在某种程度上假设、或默认了内网是安全的,认为安全就是构筑企业的数字护城河,通过防火墙、WAF、IPS等边界安全产品或方案对企业网络出口进行重重防护而忽略了企业内网的安全。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路提出了新的建议,是应对新IT时代的网络安全挑战的全新战略。零信任安全架构理念简单概括即为:应该始终假设网络充满威胁;外部和内部威胁每时每刻都充斥着网络;不能仅仅依靠网络位置来建立信任关系;所有设备、用户和网络流量都应该被认证和授权;访问控制策略应该动态地、基于尽量多的数据源进行计算和评估。
零信任安全架构从本质可概括为以身份为基石的动态访问控制,是在不可信的现代网络环境下,以身份为基石,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的逻辑身份边界。
奇安信零信任身份安全解决方案,正是基于零信任架构所实现的访问控制安全整体实践。通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。