RSAC热点主题“零信任”在企业数据安全领域引发的思考 – 安全牛

在刚刚结束的RSAC?

2019大会上,“零信任、软件定义安全、程序静态分析”等成为高频热门词汇,被众多参会者包括安全厂商不约而同大量提及。

本文侧重就“零信任”的概念、并结合企业数据安全应用场景做一简要分析,概述其中的问题和潜在的解决方案。

“零信任”的缘起

“零信任”大致是说,在全新计算模式引入和企业需求快速衍变的形势下,传统安全手段解决问题的依据即相对可信的安全基础环境已不复存在,也就是失去了原来对于人员、设备、应用服务等资源的一手掌控、脱离了以往可知可控的状态。

于是,不得不在这种信任水平降低、甚至为零的现实客观场景下,创新重构安全技术和产品,使之继续满足新形势下的安全保障需求。



企业内网从封闭可控走向开放自由?

这种趋势的变化在现实中的反映随处可见。

例如,以往企业的服务内容、模式和IT基础设施比较单一且变化不大;数据流通不足、又常常局限于固有区域及方式的管理使用。

对此相关IT需求也通常是基于内部信息系统即可解决、而无需引入更多内外服务或新的设施支持。

所以从安全管控层面来看,其面对的场景简单统一;处理模式集中固化;而实施环境却相对可信可控,因为自身体系的封闭和强约束。

但随着各行业互联网+的发展、以及ABC的广泛深入应用(AI、Bigdata、Cloud),发现原有的安全技术和解决方案在新环境中很难适应由此产生的变化,导致实施效果和效率低下、甚至受限而难以展开,即根本上已经不能满足当前环境下的安全保障需求。

尤以企业数据安全问题最为凸显,表现在安全能力赖以依存和施展的信任基础发生了改变,即大致类比于TCB(Trusted?

Computing?

Base)环境,不再像上面描述的过往情形那样、易于被感知和控制。

其中典型的变化有:

(1)云计算本身的外包计算模式,使用户失去了原有对自己数据应用的安全掌控:置之于第三方非可信的IT基础架构和系统平台环境。

(2)边缘计算如IoT和BYOD企业终端计算等,因其海量、异构以及分布分散的特性,传统的集中式统一安全策略和中心管控机制在这样架构模式下已无法实施,从而导致了非可信边缘节点上的计算行为和数据安全难以监控分析和度量。

(3)区块链的兴起极大推动了在广泛非信任实体间的数据共享应用,尤其是智能合约的计算赋能更加发挥了数据价值,但其安全保障还需依赖于各个实体执行环境的信任度、以及合约代码的正确性。

明显看到这些特性要求在过去的应用体系中很少存在,仅有的安全解决方案也难以应对现实需求。

(4)人工智能和大数据应用的普遍落地深刻激发了数据的流通和交易,典型如基于各方数据的联合建模、汇总挖掘及统计分析等。

这里除了数据隐私保护问题外,数据脱离己方控制、进入第三方非可信环境下的进一步处理,如授权访问、二次流转、防泄漏、销毁等都是数据拥有者关注的安全焦点问题。

而前述分析中指出,以往情形由于数据缺乏这样的活跃性和流动性,故该领域原有的安全机制手段显然不足、更难以在当前无信任环境下实施和起效。

(5)大中型企业内部的数据安全应用:这里关注的依然是场景和环境的变化。

原先普遍认为内网是安全可信的、且有确定的安全边界,所以采用的安全机制和建设也相对薄弱。

但随着互联网+的影响,企业自身业务规模和对外服务形式等不断扩张并快速迭代衍进,故需要内部持续引入新的软硬件设施、开放更多应用接口等相关支撑,典型如外包模式和企业移动办公;对外也越来越依赖跨企业、跨组织间的业务协同和数据协作,典型如上下游供应链等。

然而从安全角度讲,如此变化导致了企业内网从封闭可控走向了愈加开放和自由的状态,对于人员、设备、应用等资源要素的非可控性显著增加,所以很难再以传统的“可信内网”的视角和要求去构建安全服务了。



零信任安全技术应用及探索?

综上所述,我们看到“零信任”的由来其实是一种伴随着数字经济和网络空间安全不断发展的必然产物,在当前这样的时间阶段很自然引起了人们的普遍关注和热烈讨论。

更重要的是,大家正视到必须在零信任这种客观场景和约束下,构建未来新一代的安全技术、服务和产品。

当然,对此的技术挑战也极其巨大,因为失去信任就相当于失去了各类安全机制通常的作用基础。

这里就企业数据安全保护领域、结合上述提及的5类典型场景,谈谈我们在零信任条件下对于相关问题的思考和探索。

总体来看,其主流技术创新多集中于可信计算和前沿密码学应用的密文计算领域。

两者在理论研究方面都经历了很多年的探索,迟迟没有大规模应用主要受限于相关算法的计算效率和实际应用场景的约束。

但近年来由于对数据安全与隐私保护的重视和投入,使得其理论与实践发展十分迅速,比如基于英特尔SGX可信硬件推出的解决方案、以及密码学多方安全计算等算法优化的突破。

我们注意到,随着虚拟化技术的广泛应用和发展,在可信计算领域轻量级可信执行环境TEE的实现,也许是最接近于普遍适用的系统级关键解决方案。

例如,从上述5类案例中抽象出来的安全痛点,都是亟需一种在不同设备和操作系统之上的,能够满足隔离、监控、分析、阻断、报告以及可度量的安全运行环境。

使得无论是在远程计算节点、还是本地数据中心服务器,都能够保障环境中的应用程序按照既定的安全策略正确地执行。

从而摆脱了时间、地域、设备等各类物理属性的束缚和制约,真正对服务的计算过程和结果做到了可控可信。

当然,这里面还是有不少挑战性难题、尤其是关系到业务复杂的实际流程场景:比如,不但要解决计算节点的可信,还要进一步结合考虑业务的职能属性、最终形成易于安全管理的可信网络。

其中还可能涉及到由于业务流程、规模、甚至计算模式的变化,所引发的节点在网络安全域内动态增删、迁移等效应,从而提出自适应可信安全的需求。

对此,合适的访问控制模型结合软件定义的实施机制可能是一种高效的解决方案,即“软件定义边界”的技术,也是其为何成为此次RSAC大会热点之一的原因。

对此我们后面将继续解读。

另外,随着计算节点运行的软件越来越复杂并呈现多样化趋势,对于这些程序的行为和结果需要有相应的安全分析和度量,这也是建立动态可信链的关键一环,属于可信计算领域非常具有挑战性的问题。

我们认为RSAC的另一热点,即“程序语言静态分析”技术将是开启该方向的金钥匙:终于回到了解决可信计算源头问题的本质初衷,从应用程序自身的正确性和安全性出发、自顶向下逐步构建完整的可信体系。

对此的分析阐述我们也计划后续再进一步介绍引入。


5c656fe53339df0398f07b4b-紫金网

2020紫金网

本站收录内容均来自互联网,并不代表本站观点,不为其版权负责。

本平台尊重版权,文章仅作分享学习,如有侵权,请及时联系网页底部邮箱通知管理员删除。

39OTRQypmFAh9ZPX7oAR

金香槟推广热度最高

100句经典广告文案,每一句都值得收藏!

内容运营:小红书内容运营不为人知的秘诀?

微信公众号目前最有效的3个免费+3个付费的吸粉神器(附详细教程)

微信公众号起名规则及技巧:教你如何起好听的微信公众号名字?

那些年打动人心的经典广告文案案例

这些金融广告文案,既有创意又走心!

友情链接的作用:如何查询、检测、交换!

7步教你写出吸引人眼球的文案标题!

最全的APP校园推广渠道攻略:15种校园推广手段和10种推广方法

江小白表达瓶上的经典文案语录是怎么做出来的?

1572326657073

近期文章

一月份CFace交易者活动开始

两个李子,竹子和马猜测语言

[春角胡梦]

下一个词是什么

怀旧的魔兽世界试图取消这架飞机。

保存更多这些材料以赚取更多

近期评论文章归档

2020年一月

2019年十二月

2019年十一月

2019年十月

2019年九月

2019年七月

2019年六月

2019年五月

2019年四月

2019年三月

分类目录

365娱乐平台

365足球彩票

bet体育备用网址

www。

mobile288365。

com

功能

登录

文章RSS

news-aHR0cDovL2luZXdzLmd0aW1nLmNvbS9uZXdzYXBwX21hdGNoLzAvMTAwMTEyNzEzMDgvMA

近期文章

学校召开教学标本建设工作协调会

林学院开展迎70周年校庆暨30周年院庆校友座谈会

食品科学与工程学院“毕业季”酒会圆满落幕

学校举办2018年中层党组织骨干培训班

学校召开校派访学项目第三期外语培训班开班仪式

近期评论文章归档

2019年八月

2019年七月

分类目录

狗万会员登陆网站

狗万在线登录手机版

狗万平台网上最新

功能

登录

文章RSS

评论RSS

WordPress。