- 综合排序
- 最热优先
- 最新优先
- 来自专栏charlieroro
零信任架构规范
零信任架构 目录 零信任架构 1 简介 1.1 与联邦机构有关的零信任历史 1.2 文档结构 2 零信任基础 2.1 零信任原则 2.2 网络的零信任视角 3 零信任架构的逻辑组件 3.1 零信任架构方式的变种 7 迁移到零信任架构 7.1 纯零信任架构 7.2 混合ZT和基于边界的架构 7.3 将ZTA引入基于周边的架构网络的步骤 7.3.1 确定企业中的参与者 7.3.2 确定企业所有的资产 7.3.3 一个零信任架构(ZTA)是一个基于零信任原则的企业网络安全架构,用于防止数据违规以及限制内网漫游。 3 零信任架构的逻辑组件 在企业中,可以使用大量逻辑组件来构造ZTA。这些组件可能以一个本地服务或云服务的方式运行。图2展示了组件和组件间交互的框架概念模型。注意这是一个理想的模型。 7.1 纯零信任架构 在绿地方式(指全新的环境)中时,可以从头开始构建零信任架构。假设企业知道其需要在流程中运作的应用/访问,就可以基于零信任原则来为这些流程生成架构。
1.4K10编辑于 2022-01-07 - 来自专栏AI SPPECH
MCP 与零信任架构
本文旨在帮助开发者: 理解 MCP 与零信任架构的融合原理 掌握 MCP 零信任架构的设计和实现方法 了解 MCP 零信任架构的最佳实践 构建符合合规要求的 MCP 零信任系统 二、核心更新亮点与新要素 采用模块化设计,逐步实现零信任架构2. 利用成熟的零信任框架和工具3. 培养专业的零信任开发和运维团队4. 制定详细的实施计划和路线图 性能开销 1. 优化零信任组件的性能,减少不必要的验证和计算2. 采用异步处理和缓存技术,提高系统的响应速度3. 实现可配置的零信任策略,允许按需调整安全级别4. 采用开源零信任框架和工具,降低软件成本2. 利用云服务,降低硬件和维护成本3. 实现按需扩展,根据实际需求调整资源配置4. 到 2030 年:零信任即服务(ZTaaS)将成为 MCP 零信任架构的主要部署方式,降低零信任架构的使用门槛。
29910编辑于 2026-01-10 - 来自专栏FreeBuf
零信任实战架构总结
二、零信任实现架构 目前有零信任实践的公司,大多都是采用SDP架构(software define perimeter),SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP发起客户端 办公安全零信任架构: ? ? 远程办公需求零信任实现: ? 落地建设可分为:全新建设零信任架构网络、在已有网络架构上改造升级,两种情况。 无论是全新搭建还是已有网络架构升级,实施过程应考虑以下因素: 1)有专门的安全团队和人员牵头和推进实施; 2)领导的重视(往往决定了落地的难易程度); 3)有明确的安全目标(以及阶段性目标); 4)有适配达到安全目标的足够预算 2)确定安全目标 根据零信任网络保护对象的重要程度,以及企业可能面临的安全风险、企业安全现状、团队能力、可投入的资源等因素,确定零信任网络需要建设的安全能力,以及能力实现的强弱程度(并非一定要把所有最高级别的安全能力手段都加于企业身上
1.9K30发布于 2021-07-03 - 来自专栏网络安全观
零信任+:边界信任模型,零信任模型与零信任+浅谈
2) 模型假设对所有可信设备的信任是永久的,全时段的。 显然这种“过度信任”是非常危险的,是一种对信任的滥用。基于对边界信任的致命弱点的研究,“零信任”模型横空出世。 在构建“零信任”模型的体系时,网络专家们对该模型做了以下假设: 1) 网络始终是暴露在危险之中 2) 无论外网或者内网,危险始终存在 3) 不存在可信任的网络区域,网络区域不能作为判断网络可信的决定因素 根据“零信任”模型的理念和假设,网络专家们进一步的给出了典型的“零信任”模型的架构。 ? 在架构中,支持“零信任”模型能正常运行的核心是一个被称为Control Plane,即控制平台的组件,在“零信任”模型中,所有访问敏感信息的请求都应该先经过控制平台,由控制平台对访问进行评估,决定此次访问需要提供什么等级的认证信息 2) 前文也提到,在“零信任”模型下的访问都先经过控制平台,对访问进行评估,认证和授权,但模型缺乏对访问后的用户行为进行监控的机制,从另一个角度来看,模型对控制平台“过度信任”。
1.7K10发布于 2021-03-01 - 来自专栏SDNLAB
一文读懂零信任架构
“永不信任,始终验证”是零信任架构的设计原则。 零信任最初是Forrester Research分析师John Kindervag于2010年提出,他认为所有的网络流量都必须是不可信的。 零信任的安全模型 简而言之,零信任的原则就是“在经过验证之前不要信任任何人。” 八大支柱 以上原则为构建零信任架构 (ZTA) 奠定了基础。此外,零信任安全的八大支柱构成了一个防御架构,旨在满足当今复杂网络的需求。这些支柱分别代表了对零信任环境进行分类和实现的关键关注领域。 零信任的应用 零信任安全可以根据您的架构设计和方法以多种方式应用。 零信任网络访问 (ZTNA)是零信任模型最常见的实现。 零信任访问是包含 ZTAA 和 ZTNA 的总括模型,可在整个架构(包括所有网络和应用程序)中提供端到端的零信任。
5.4K51编辑于 2022-04-26 - 来自专栏让技术和时代并行
Kubernetes 集群零信任访问架构设计
下面,我们将看看如何应用 Kubernetes 零信任原则来保护整个环境,如何为容器提供零信任安全性。 Kubernetes 集群的零信任访问 假设在网络中和网络之间访问的所有人员、系统和服务都是不可信的安全模型,零信任正在成为防止恶意攻击的最佳技术。 基于身份验证、授权和加密技术,零信任的目的是不断验证安全配置和状态,以确保跨环境的可信。 扩展零信任架构 虽然上述不同的方法和实践提供了创建零信任环境的能力,但当 Kubernetes 的足迹扩展到几个集群之外时,正确配置和对齐这些单独的元素成为一个更重大的挑战。 因此,平台团队需要在其整个 Kubernetes 基础架构中为集群和应用程序启用集中的企业级安全和控制。
1.1K10编辑于 2023-03-18 《零信任架构运维监控信任体系构建实操手册》
传统架构中,运维人员的批量操作往往缺乏过程校验,一旦出现操作偏差难以及时干预,甚至会引发连锁性的运行问题,而零信任架构下,会基于运维人员的历史操作数据、岗位场景特征,生成专属的行为基线,基线会区分常规运维 监控系统的数据采集方式重构,核心是建立“数据态溯源”体系,将数据采集的全链路纳入信任校验范畴,彻底改变传统架构中监控节点单向推送数据、采集链路无核验的模式。 而零信任架构下,会根据监控数据的敏感等级、使用场景,将数据划分为基础运行数据、核心节点数据、专项监控数据等不同层级,为不同的分析角色分配差异化的数据使用权限,权限与角色、岗位深度绑定,无法跨层级访问。 这种重构要求让监控数据从“集中存储、粗放使用”转变为“分级管控、精准使用”,既保障了监控数据的安全流转,又最大化发挥了数据的分析价值,同时也让监控系统的数据采集与使用形成完整的信任闭环,适配零信任架构的核心要求 零信任架构下内部运维与监控体系的重构,并非一次性的静态实施,而是需要建立“架构态动态校准”机制,实现体系的长效适配与持续优化。
12400编辑于 2026-02-09构建机密AI工厂的零信任架构
为机密AI工厂构建零信任架构2026年3月23日作者:Hema Bontha, Manuel Huber, Matheen Raza人工智能正从实验阶段走向生产阶段。 使用私有数据与AI模型存在风险,且隐私和信任问题常常阻碍AI的采用。构建下一代AI工厂——专注于大规模生产智能的高性能基础设施——的企业必须建立在零信任基础之上。 这种安全架构通过使用硬件强制的可信执行环境(TEE)和加密证明,消除了对底层主机基础设施的隐式信任。本文描述了将零信任基础集成到AI工厂所需的全栈架构。 零信任AI工厂的开放参考架构某机构为CoCo软件堆栈提供了参考架构。 生态合作伙伴某机构的生态合作伙伴正在使零信任AI工厂成为现实,包括某机构、某机构、某机构等,共同推进生产就绪的机密计算,并使企业能够释放AI的价值。开始使用通过参阅某机构机密计算参考架构了解更多信息。
6110编辑于 2026-04-17- 来自专栏网络安全随笔
【翻译】零信任架构准则(三)Assess user behaviour
在寻求建立系统安全性的信任值时,用户行为,服务或设备的健康状况是非常重要的指标,我们应该持续监控来自用户和设备的身份和健康信息,并把这些动态信息也输入到策略引擎中,让其动态的做出访问决策。 第三方应用程序应由管理员授权,并通过受信任的机制(如 Ubuntu Landscape)进行部署。其次是设备本身的健康状况,包括设备固件,端点安全套件和操作系统内核等等。 我们应该确保为合法用户提供明确且清晰的设备健康补救途径,当他们的设备在某些情况低于要求的认证信任值时,可以恢复到良好的设备健康状态,否则用户可能因被阻拦而无法访问服务或数据时不明所以。 零信任基础设施,例如策略引擎和策略执行点,在这里也要归于服务。服务的防护应该采取零信任架构+传统安全功能协同,例如IPS,或强大的身份验证机制。
21910编辑于 2024-03-20 - 来自专栏Python项目实战
边界已死,信任重构:零信任架构的真相与落地心法
边界已死,信任重构:零信任架构的真相与落地心法——ByEcho_Wish大家好,我是Echo_Wish,一个曾经深信“边界即安全”,后来又亲手把“边界安全”送走的技术人。 今天咱来聊聊一个这几年被喊到烂但真正懂的人却不多的词——零信任架构(ZeroTrustArchitecture)。它不是新技术,而是一种新秩序。它不是安全工具,而是安全深度思维的转变。 三、零信任架构核心理念(用聊天口吻讲人话)零信任的核心是6个字:认证、授权、持续验证。 :Authentication(身份认证)Authorization(访问授权)AccessControl(策略控制)RiskEvaluation(风险评估)Monitoring(持续监控)一个典型的零信任架构长这样 三不要原则(踩坑总结)不要全量替换,而是从关键资源开始不要一口气上全自动风控,否则可能锁死业务不要给业务团队增加额外负担,透明集成才是王道六、零信任不是万能,但改变了安全的底层逻辑作为一个多年运维&架构老兵
31700编辑于 2025-12-01 - 来自专栏FreeBuf
再说零信任
零信任架构 业内尚没有统一的零信任架构标准,比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构,基于这两种架构,业界根据实践经验,总结出一个较为通用的零信任架构。 ? b)与终端建立授信关系:将终端标记为授信终端,建立绑定关系 2) 零信任代理,暴露在外部提供服务的介质,主要功能如下 a) 转发:对用户发起的请求进行认证授权转发,对已正确的请求进行资源访问转发 b) 2. 使用了零信任网络架构设计不再区分内网、专线、VPN等接入方式,通过将访问流量统一接入零信任代理、零信任访问控制与保护引擎(零信任安全控制中心),实现在任意网络环境下的内部资源访问。 2)制定零信任的安全目标,可分为终极目标和阶段性目标。
2.3K40发布于 2021-01-08 - 来自专栏coderidea
怎么理解云原生架构的零信任原则?
今天,我们将深入研究云原生架构中的一项重要原则——"零信任"(Zero Trust),探讨如何将这一原则应用于云原生环境中,以提高安全性。 为何需要"零信任"? 随着云原生应用和微服务架构的兴起,传统的边界式安全控制模型已经不再适用。现代应用的复杂性和可伸缩性要求更加精细和灵活的安全策略。传统的防火墙和边界安全控制无法满足这些需求。" 零信任"模型强调了在应用和数据层面实施安全,使得即使内部网络被攻破,也不容易获取关键敏感信息。 如何实施"零信任"原则? 让我们来看看实施"零信任"原则的关键步骤: 1. 身份验证 "零信任"模型的核心是身份验证。确保每个用户和设备都有唯一的身份,通常采用多因素身份验证(MFA)来提高安全性。MFA要求用户提供多种凭证,如密码、生物特征、智能卡等。 2. "零信任"原则代表了现代网络安全的新趋势,它适用于云原生架构和微服务环境。它强调了细粒度的安全控制、身份验证和持续监控。通过实施"零信任"模型,组织可以更好地保护其应用和数据,降低潜在的风险。
88620编辑于 2023-10-23 - 来自专栏网络安全随笔
【翻译】零信任架构准则(四)Authenticate and Authorise everywhere
通过策略匹配来授权一次请求零信任架构的威力来自你定义的访问策略,用户的每个服务请求都应该根据策略进行授权,具体步骤如下:当用户进行一次访问时,用户试图与策略执行点建立连接,策略执行点主要负责转发他们的请求到内网的具体应用 2. 当策略执行点(PEP)收到用户访问的请求时,会解析用户携带的上下文,接着会向策略引擎(PE)发起访问鉴权。3. 策略引擎(PE)会持续评估请求的安全状态,如果发现异常,则会终止用户连接或让用户进行增强认证(MFA,手机验证码等),当然你使用哪种策略模式取决于你的零信任产品的部署方式,例如使用托管云服务肯定不同于私有化部署 保护策略引擎零信任架构中最重要的组件就是PE和PEP,因此,你应该确保这些组件受到安全保护,如果这些组件遭到破坏,攻击者将能够控制谁有权访问哪些数据或服务,因为他们可以随意配置策略,这是非常可怕的。 多因子认证MFA(多因子认证)是零信任架构验证的必要手段之一,这并不意味着用户体验一定很差,在现代设备和平台上,我们可以通过良好的用户体验来实现强大的MFA。
28710编辑于 2024-03-20 - 来自专栏网络安全随笔
【翻译】零信任架构准则(二)Know your architecture
了解你的业务架构在零信任网络模型中,了解你的用户,设备,服务和数据比以往任何时候都更加重要。为了使零信任架构威力发挥到最大,你需要了解你的架构中的每一个组件。 过渡到零信任在没有充分考虑现有服务架构是否安全的前提下,贸然直接实施零信任架构,我们的业务可能会面临更高的风险,因为这些服务在内网中没有安装过任何的漏洞保护软件。 因此,无论你是想从原有的业务架构迁移到零信任架构,还是直接从全新的架构部署,那么进行资产安全评估也同样重要。 如果无法使用零信任方法降低所有风险,则应保留当前网络架构中现有的安全防护模块(IPS+WAF等)。了解你的用户,服务和设备身份在零信任网络做出访问决策时,用户,服务和设备身份是一个非常重要的因素。 在零信任架构中,以上每一个身份都应该被唯一标识和验证的。这些唯一身份标识是输入策略引擎众多Signal之一,策略引擎可以用此信息做出访问决策。
32210编辑于 2024-03-20 - 来自专栏得物技术
BeyondCorp 打造得物零信任安全架构
2. BeyondCorp理念 2.1 历史背景 BeyondCorp 是 Google 打造的零信任模型。它以 Google 十年的经验为基础,并借鉴了相关社区提出的理念和最佳实践。 得物零信任安全实践 3.1 得物零信任需要达到的目标 因为不同企业面临的现状,技术能力,基础架构都有所不同,零信任的实施也不能照搬照抄。我们需要思考如何在现有组件下建立起适合得物的零信任体系。 3.2 得物零信任架构 3.2.1 架构说明 设备认证,可信设备基于飞连终端与飞连设备数据。 3.2.2 实施挑战 挑战一:自研硬件设备指纹技术 在建设得物零信任架构过程中,主要面临的挑战是设备唯一性的问题,一开始我们尝试了通过浏览器指纹技术比如开源的 fingerprintjs、clientjs 零信任只是一个理念,在具体实施环境要因地制宜。
1.4K60编辑于 2022-09-13 - 来自专栏网络安全随笔
【翻译】零信任架构准则(一)Introduction to Zero Trust
零信任简介零信任架构是一种移除内网信任的一种系统设计方法,它假定访问网络的用户都是有敌意的,因此,每个访问请求都需要基于访问防护策略去验证。 如果你不确定零信任是否是你需要的网络架构,或者你是零信任的初学者,那么我们的网络架构指南会是一个很好的阅读切入点。关键概念在阅读和遵循我们的零信任原则时,需要牢记一些关键概念。 在零信任架构中,固有信任已经从网络架构中移除。虽然你已连接到网络中,但这并不意味着你能够访问该网络服务的所有内容。 术语在讨论零信任架构时,拥有共同的词汇表是很有帮助的,以下是整个零信任原则中使用的一些术语。 零信任的价值安全价值减少攻击面控制平面和数据平面分离,从而隐藏应用,避免潜在的网络攻击,保护关键资产和基础设施2.
87610编辑于 2024-03-20 - 来自专栏FreeBuf
浅谈零信任
零信任这个词自从2010年被提出以来,就被各行各业所追捧。不管是谷歌的BeyondCorp,还是Gartner的CARTA模型,都是零信任的最佳实践之一。 趁着这股浪潮,我也来分享一下我对于零信任的一些理解与看法,本次分享从零信任产生的背景、零信任的基础概念、零信任的落地几个角度出发,一起来探讨学习一下。 归根结底,零信任是网络中攻防博弈的具象化展现。 因此,零信任的技术成为了解决上述问题的最优解。 ? 零信任的落地 就目前而言,企业无法短期之内实现零信任的建设,其落地还是具有一定的难度,原因包括: 零信任涉及到企业全网改造,包括网络架构、认证方式、系统接口对接,这个工程量是巨大的。 企业业务场景千变万化,零信任不会是一套标准化的产品,需要与用户需求相贴合,会有大量开发工作 为了更好实现零信任,我们可以将零信任建设分为几个安全节点来分别做规划: 传统安全:零信任不是单纯的新增身份认证
1.1K10发布于 2020-09-04 零信任(搬家)
该文章无法收藏故搬家收藏概述零信任(Zero Trust)是一种网络安全策略,其核心理念是不信任任何内部或外部的网络实体,而是通过严格的身份验证、访问控制和加密技术来保护数据和资源。 零信任的工作原理是什么?零信任(Zero Trust)是一种安全模型,它的工作原理可以概括为“从不信任,始终验证”。 传统的安全模型是基于边界的信任模型,即在企业内部建立一个安全边界,内部的用户和设备被信任,外部的用户和设备被视为不可信。 零信任模型则将信任的范围缩小到最小,不再默认信任内部用户和设备,而是始终对所有的用户和设备进行认证和授权。 具体来说,零信任模型的工作原理包括以下几个方面:身份认证对所有的用户和设备进行身份认证,确保其真实身份。访问控制对所有的用户和设备进行访问控制,只允许其访问其需要的资源。
49700编辑于 2025-01-11- 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(上)
全部内容可通过《网络安全架构|零信任网络安全当前趋势(下)》访问。 介绍 2.零信任网络架构 3.零信任体系架构的逻辑组件 4.部署场景/用例 5.与零信任架构相关的威胁 6.零信任架构与现有联邦指南 7.迁移到零信任架构 附录A:缩略语 附录B:识别ZTA当前技术水平的差距 这项工作包括关键概念和零信任网络架构模型,该模型改进了在Jericho论坛上讨论的概念。 十多年来,美国联邦机构在许多方面一直在转向基于零信任原则的网络安全。 四、零信任网络架构 零信任体系架构是一种端到端的网络/数据安全方法,包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施。零信任是一种侧重于数据保护的架构方法。 2)零信任视角的网络 对于在网络规划和部署中使用ZTA的任何组织,都有一些关于网络连接性的基本假设。
1.1K10发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(下)
其目录如下: 摘要 1.介绍 2.零信任网络架构 3.零信任体系架构的逻辑组件 4.部署场景/用例 5.与零信任架构相关的威胁(下篇自此开始) 6.零信任架构与现有联邦指南 7.迁移到零信任架构 附录 网络安全架构|《零信任架构》NIST标准草案(中)》; 这是下篇。 Trends》),参见《网络安全架构|零信任网络安全当前趋势(下)》。 1)纯零信任架构 可以从头开始构建一个零信任架构网络。假设企业知道所需使用的应用程序和工作流,那么它可以为这些工作流生成基于零信任策略原则的架构。 该机构可以围绕ZT原则,设计新需要的基础设施,例如在授予访问权限之前评估用户的信任,在新资源周围部署微周界等。 2)混合ZTA和传统架构 ZTA工作流与传统企业架构的共存,可能会有一段时间。
1.3K10发布于 2021-02-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号