【新要闻】继续聊聊“零信任”——零信任和企业网络结构改造

2022-10-28 16:13:22   来源:商业新知网

上一篇 文章中我们聊到零信任在“永不信任,总是验证”这个原则下的主要改变——在时间上和空间上缩短授权的时间长度,让鉴权变得更加频密。 我们在这一篇文章中将进一步阐述零信任的另外一个背景: 网络改造 。

让我们先从传统的场景开始回顾一下零信任。


(资料图片仅供参考)

最开始的时候一个企业只有一个办公场所,所有的设备都在一个物理空间内。这个时候,员工必须物理身在办公室内才可以办公,因此一个路由器就解决了问题:网线一插就连接到了企业网络。同时,企业网络内的数据发送、接收也没有加密(例如裸HTTP连接或者telnet连接、开放在3306端口的MySQL数据库等等。

这种插网线的场景叫做“城堡—— 护城河”模型 :路由器及连接到路由器上的设备共同构成一个城堡,要想进入城堡,就必须拿一根网线在护城河上搭一座桥。搭桥的方法多种多样——接入一个Wi-Fi接入点,就可以无线搭桥;接入一个VPN网关,就可以远程搭桥。

我们当然需要对进入网络的人进行鉴权和授权(确认他有资格跨过护城河)。在有线路由器的场景下,鉴权授权通过发放网线完成;在Wi-Fi下通过预共享密钥(Pre Shared Key)完成;在VPN(或者企业认证Wi-Fi)下通过帐号密码体系完成。

不过,无论用户是采用什么手段接入城堡,城堡内的信息安全都不太靠谱——C(保密性)近乎没有(文件对公司同事是透明的)、I(完整性)(内容传着传着可能有意无意就被改了)和A(可用性)(内容可能传着传着被掐断)自然也无从谈起。

零信任的第一个目的就是解决这个问题。通过为具体的业务系统加入单独的身份鉴权、授权和保密机制,即使在城堡里面使用业务系统也要经过额外的身份验证。这么做的话好处是显而易见的——即使网络攻击者进入了城堡,也无法访问具体的业务。

零信任在这个角度来看解决了企业内的信息安全问题。不过,在企业的IT实践中,还发现了另外一个问题。

我们刚刚提到,一个企业就是一座城堡;因此,城堡从小到大的过程,也是企业网络不断扩大的过程。在这个过程中,企业不可避免地要建立分支机构——也就是对城堡建立分身。例如,一家航空公司有四个基地,那四个基地总得都有一个城堡。

为了在城堡之间建立联系,往往需要建设专线。但是,专线有两个问题:第一个问题是专线的建设随着企业的扩大而愈发复杂——如果采用可靠性好的结构的话,两个城堡之间一条专线,三个城堡之间三条,四个城堡之间六条……这个成本是阶乘级别的复杂度。而如果采用简单的结构(即以总部为中心,所有分支仅建设一条到总部的专线)的话,虽然成本是线性级别(两个城堡一条,三个城堡两条),但是一旦总部瘫痪,公司业务也就停摆了。

同时,专线严格而言也缺乏互联网那样的灵活性和灾备能力。由于互联网的规模远大于企业专线网络,因此主干网络的冗余程度也大于企业专线——例如,同样是从西安到上海,企业专线可能只有一条路由模式,但是互联网可以选择多种不同的方式路由。

理论上而言,拥有服务质量保证(QoS)的互联网确实比专线有着更好的性能。但是,之前制约企业使用这一技术的原因在于传统的城堡——护城河——桥的模式:出于访问控制的角度,桥上不能承载别的网络流量。

但是,零信任及其配套的加密机制使得甲方和乙方都想到了一个问题:如果我在互联网上传输的数据的保密性(通过TLS所带的RSA、AES或者国密算法等加密算法满足)、完整性(通过TLS所带的散列算法满足)和可用性(通过运营商QoS满足)都符合要求的话,为什么我还要建设一层企业内部专网呢?

这就产生了零信任的第二个场景—— 简化企业网络拓扑 。

OSI模型定义了五层(传统七层架构中的会话层和表示层已经被弃用合并)。

我们假设一个简单的通过网页访问的业务系统。这个业务系统在应用层上使用HTTP,但其下的各层可以自行配置。这个系统的演变可能是这样的:

1. 最开始的时候,由有线以太网负责底层网络,接入后使用内网IP访问。此时,数据传输使用明文的TCP协议。接入Wi-Fi之后,底层网络部分改为无线Wi-Fi承载,由无线接入点负责Wi-Fi和以太网之间的转换;接入VPN之后;底层网络部分改为由L2TP(或其他VPN协议)承载,由VPN网关负责VPN协议和以太网之间的转换。

2. 使用明文TCP协议的最大问题是用户凭据会在内网中泄露(需要明文传输密码),因此零信任提出的第一重改进是用带有加密功能的TLS协议传输数据(也就是从HTTP升级到HTTPS)。此时,底层网络可以保持不变——仍然是经过以太网、Wi-Fi或者VPN,通过内网IP访问。这一层就是“在同等的成本下实现更高的安全性”:在不改变既有的网络拓扑(不降低成本)的前提下,提高企业网络对抗攻击者的能力。

3. 我们可以发现的是,如果服务器本身的配置是安全的(例如在传输过程中使用强TLS加密、仅仅开放了HTTPS一个端口、并且使用公钥智能卡等复杂认证机制),那么让这个服务器暴露在公网上并不会增加额外的安全风险。此时,零信任的第二重改进就是通过改用公网传输的形式简化网络拓扑,避免使用昂贵的VPN或者专线。这一层就是“在同等的安全性下实现更低的成本”:在不改变企业网络对抗攻击者的能力的前提下,降低企业网络拓扑的实施成本。

因此,零信任并非一套标准化的“术”,而更像是一套哲学式的“道”。换言之,企业IT管理者需要谨慎地根据企业自身实际情况,决定三个问题:企业内是否需要实施零信任?需要实施到什么程度?如何实施?

关于我们 > > > >

原名“航旅IT圈”,成立于2015年。由航空旅游行业数智化领域资深人士创办,专注研究航旅业的数字化解决方案、培养航旅业数字化人才,致力成为航旅企业与数字化服务企业的专业桥梁,成为航旅数智专业人才的摇篮。

专家观点 前沿资讯 解决方案

· 趋势分析、热点评论、知识分享

· 航旅生态圈数字化人才培养园地

观点没有对错,欢迎随时切磋

投稿与联络: christiegmat( 微信 ) | christieliuyue@yahoo.com.tw

关键词: 网络拓扑 业务系统

上一篇:
下一篇:
精彩阅读

【新要闻】继续聊聊“零信任”——零信任和企业网络结构改造

热点

零信任在这个角度来看解决了企业内的信息安全问题。不过,在企业的IT实践中,还发现了另外一个问题。

世界观焦点:【5分钟说用户关系】16讲-数据比你更懂你自己?

热点

数据驱动商业,企业分别建立商品标签和用户标签,通过数据分析后,把用户真正感兴趣的商品推荐给用户。

世界速递!EMNLP'22 | 苏大LAGroup提出:利用定制句法信息的语法纠错

热点

苏大LAGroup提出:利用定制句法信息的语法纠错。

焦点快播:用AI抢光游戏从业者的“饭碗”?这是个不受法律保护的大坑 | 游法解读第12期

热点

虽然目前人工智能已具备生成游戏所需全部元素的能力,但目前仍然未能取代游戏制作者的内容。

今日快看!比Tinder更好用的交友软件,告诉你什么样的男人最帅

热点

交友软件Hinge的新研究似乎揭示了一种比外表、金钱还要重要的交际属性——情绪脆弱。

全球头条:真诚是必杀技吗?原创个人资料更易在约会网站上牵手成功

热点

可见,真诚永远是最大的必杀技,在国外也是如此。

世界快消息!深耕云游戏的这三年,元境营收呈阶梯式增长,机构竞争力评级第一

热点

前阵子,谷歌Stadia的关停激起了人们对于云游戏的种种热议,其中对于云游戏需求真伪及未来发展的质疑颇多。

【全球报资讯】美国科技巨头的中年危机

热点

10月26日,元宇宙巨头META盘后股价大跌20%,这是它继今年2月暴跌26 4%以来的又一次惊天暴跌。

重磅!保利威两篇【AI音视频技术】论文入选「IEEE 国际电子商务工程会议」!

热点

保利威已将该视频切片技术应用于旗下PlaySafe版权防盗体系中,从防录屏、防下载、异常行为监测等多维度护航视频安全。

“物超人”步伐持续加大 三大运营商蜂窝物联网终端用户达到17.45亿户

热点

在用户方面,“物超人”步伐持续加大,IPTV用户稳步增长。

财富

今日讯!融资丨「宅猫找房」完成数千万元A轮融资,万物云投资

资讯

融资丨「宅猫找房」完成数千万元A轮融资,万物云投资,融资资金主要用于拓展以上海为立足点的长三角业务和产品研发等。

融资丨「绪水互联」完成数千万元A轮融资,惠每资本领投

资讯

融资丨「绪水互联」完成数千万元A轮融资,惠每资本领投,本轮融资将进一步用于推动公司在医疗设备AIoT以及数字化应用上的市场推广,和科室级新

融资丨「站酷」完成数千万元C1轮融资,高瓴创投投资

资讯

融资丨「站酷」完成数千万元C1轮融资,高瓴创投投资,此轮融资主要用于技术研发、产品迭代以及体验创新升级等方面。

当前视点!融资丨「扑浪量子」完成数千万元Pre-A轮融资,东方嘉富领投

资讯

融资丨「扑浪量子」完成数千万元Pre-A轮融资,东方嘉富领投,本轮融资将主要用于产品研发和产能扩张。

新动态:融资丨「亦诺微医药」获得首批C+轮融资,招商局中国基金有限公司等机构投资

资讯

融资丨「亦诺微医药」获得首批C+轮融资,招商局中国基金有限公司等机构投资,此次融资募集资金将主要用于支持公司已进入临床阶段的三个产品管线

当前快报:拼多多,低价杀不穿美利坚

资讯

拼多多,低价杀不穿美利坚,单靠低价能有多少杀伤力?

最新消息:3个月销售近3个亿,虚拟偶像的时代已经来临

资讯

3个月销售近3个亿,虚拟偶像的时代已经来临,偶像赛道迎来新浪潮

快手补“辛”

资讯

快手补“辛”,辛巴问辛吉飞,你也姓辛?

环球观天下!中国车企谁更注重碳中和?吉利领先,小鹏理想落后

资讯

中国车企谁更注重碳中和?吉利领先,小鹏理想落后,首份中国汽车行业双碳领导力排行榜发布

当前简讯:7000字深度剖析:如何成为「风口上的猪」?

资讯

7000字深度剖析:如何成为「风口上的猪」?,找一个又宽又长的风口

世界观焦点:【5分钟说用户关系】16讲-数据比你更懂你自己?

数据驱动商业,企业分别建立商品标签和用户标签,通过数据分析后,把用户真正感兴趣的商品推荐给用户。

世界速递!EMNLP'22 | 苏大LAGroup提出:利用定制句法信息的语法纠错

苏大LAGroup提出:利用定制句法信息的语法纠错。

焦点快播:用AI抢光游戏从业者的“饭碗”?这是个不受法律保护的大坑 | 游法解读第12期

虽然目前人工智能已具备生成游戏所需全部元素的能力,但目前仍然未能取代游戏制作者的内容。

今日快看!比Tinder更好用的交友软件,告诉你什么样的男人最帅

交友软件Hinge的新研究似乎揭示了一种比外表、金钱还要重要的交际属性——情绪脆弱。

全球头条:真诚是必杀技吗?原创个人资料更易在约会网站上牵手成功

可见,真诚永远是最大的必杀技,在国外也是如此。

苹果举行主题为超前瞻秋季新品发布会 AirPodsPro2正式登场

北京时间9月8日凌晨,苹果举行主题为超前瞻的秋季新品发布会,在此次发布会上,备受关注的iPhone 14系列新机、新款Apple Watch Ultra以

微软正为Windows12开发新驱动框架 提升新老显卡性能

Windows 12系统可能会在2024年到来,按照正常的节奏,其开发工作应该早已秘密进行。日前,有开发者从Windows 11最新预览版Build 25188中

华盛顿地铁站首次亮相为视障人士扩展旅行路线

5月25日消息,一款旨在帮助视障人士或盲人行人使用公共交通工具的应用程序在华盛顿地铁站首次亮相。该应用程序名为Waymap,旨在为盲人和视

2022年情况又要变了!华硕高管:今年PC恐怕要供过于求

这两年来,由于疫情导致的居家办公及远程教育需求爆发,一直在下跌的PC市场枯木逢春,2021年更是创下了2012年以来的最快增长,然而2022年情

垃圾佬的心头好!西数新款固态盘SN740曝光

对于DIY垃圾佬来说,散片、拆机件、工包……这些名词怕是并不陌生。本周,西数推出了主要供应OEM厂商的新款固态盘SN740。SN740升级到了第五

虚假宣传、误导消费者 倍至冲牙器关联公司被处罚

后来者要想在激烈的市场竞争中立足,如果可以背靠巨头享受大树底下好乘凉的红利,那自然是皆大欢喜,没有这个福气,也大可凭借自己一步一个