您的位置:首页 >科技 >

从RSAC 2023看零信任安全发展趋势_全球信息

2023-05-21 21:09:06    来源:互联网

以零信任为核心的身份安全是近年来网络安全创新的热点方向,也是RSAC大会上讨论的热门话题。本文分析近年来零信任安全创新发展脉络,聚焦本届RSAC大会零信任安全与云原生安全、开发安全、数据隐私安全相结合的最新动态。

一.零信任具有持续的创新活力,并且与其他热门方向紧密关联


(资料图片仅供参考)

在创新沙盒板块上,零信任为云业务应用的发展为身份安全注入新的活力,逐渐往多云(multicloud)环境发展。零信任不断完善并用于构建弹性网络,并解决云上复杂应用的访问控制管理。

2018年,随着零信任框架和谷歌零信任应用的出现,零信任成为身份安全领域的新理念与创新热点;2019年,随着云应用的发展,云访问安全成为热点,从事IDaaS及防止身份滥用的创新企业入选创新沙盒TOP10;2020年,零信任热度有所减退,被供应链安全和云安全的热度所取代;2021年,疫情下远程办公的需要使得云访问安全再度成为热点,“弹性”也 成为本届RSAC大会主题,零信任被认为是建设“弹性” 网络的安全基础设施,再度回到创新沙盒TOP10的榜单;2022年,零信任机制得到更多实践,零信任模型的改进和创新应用成为热点;2023年,在人工智能与自动化大火的背景下,零信任依然保持了热度,创新企业提出新型零信任方案,通过统一的访问控制方式监控和管理所有第三方的应用连接。

零信任具有持续的创新活力,并且与云安全、开发安全、数据与隐私安全等其他热门方向紧密关联。这种特点也体现在RSAC2023的热点议题中。

二.云环境下的零信任安全部署

在题为“Zero Effort, Zero Trust, K8s Security for Blocking Zero Day Attacks”的报告中,来自SUSE的专家对云上(K8S)的零信任安全作出了新的解读。

在云上部署身份安全业务,与签名/威胁匹配相比,零信任具有显著的优势。签名/威胁匹配能够实现的功能包括:CVE、数据丢失防护、网络攻击检测、WAF OWASP、准入控制等,而零信任访问控制能够进一步细化网络安全策略,融入容器进程,实现注册表源准入控制以及基于角色的访问控制(RBAC)。

那么如何在Kubernetes 部署零信呢?报告展示了一个开源的零信任项目CNCF Open Zero Trust,它是NeuVector 的上游项目,能够实现零信任 Kubernetes 网络策略、零信任容器进程;实现基于行为的自动化零信任部署,包括识别应用程序行为(学习模式)、对任何异常应用程序行为发出警报、监控没有异常的应用程序行为。

将开放零信任或 NeuVector 部署到 Kubernetes 集群中,实现的功能包括:第 7 层集群内所有网络活动的安全策略、每个容器的所有进程行为的安全策略、报告任何活动的传入网络攻击、报告所有漏洞和安全配置错误;更进一步,它能够在任何 Kubernetes 集群中使用零信任保护任何工作负载,能够使用保护模式作为对抗实时攻击的对策或作为,保护未打补丁或无法打补丁的 CVE 攻击。

三.安全左移-开发安全中的零信任应用

在题为“Implement ZeroTrust with dedicated DevSecOps Pipeline”的报告中,来自Roche的专家提出了安全左移的零信任开发安全,在应用程序生命周期的早期应用安全控制,使得开发人员拥有更多的安全性。

在零信任成熟度模型 2.0中提出了安全应用程序开发和部署工作流程的新功能,机构使用不同且协调的团队进行开发、安全和操作,同时取消开发人员对生产环境的访问以进行代码部署。

零信任的实施分为两个阶段:在初级模式(信任但验证)中,Agency 为开发、测试和生产环境(包括自动化)提供基础设施,通过 CI/CD 管道和必要的正式代码部署机制,支持最小特权原则的访问控制。

在高级模式(零信任)中,安全自动化成为优先选项,机构使用不同且协调的团队进行开发、安全和操作,同时取消开发人员对生产环境的访问以进行代码部署。

四.零信任的数据与隐私安全

在“Zero Trust Privacy: Rethinking a Data Strategy”的报告中,专家提出应用零信任原则来履行隐私义务,以实现合适的人正确访问合适的资源,包括正确的时间 、正确的位置、使用正确的设备、为了正确的服务,以及正确的访问对象。

报告提出了零信任隐私支持监管义务的12条原则(合规对象包括GDPR以及加州消费者隐私法):

1. 数据保护官-评估隐私和数据保护治理结构以及对数据保护官 (DPO) 的需求。

2. 处理的法律依据-评估收集和处理个人数据的法律依据。

3. 隐私声明和披露-评估外部隐私通知和披露以及内部政策和员工培训程序。

4.同意管理-在依赖个人同意处理个人数据时,评估同意做法。

5. 个人隐私权-评估处理个人权利的流程(例如,个人数据的访问、纠正、擦除和可移植性)。

6. 隐私影响分析-评估数据收集和使用实践以确定是否需要数据保护影响评估 (DPIA)。

7. 处理记录-评估处理活动和数据清单的记录以及维护此类记录的过程。

8.跨境数据传输-评估将个人数据传输到规定区域之外的合法机制。

9. 第三方管理-评估与之共享个人数据的第三方供应商的合同协议和控制验证程序。

10. 设计和默认隐私-评估数据最小化和保留实践;验证在新实施之前考虑了隐私保护措施。

11. 数据安全-评估用于帮助确保个人数据的机密性、可用性和完整性的数据安全控制。

12. 违规通知-评估事件响应程序和违规通知流程。

报告进一步提出了零信任隐私实施方案,包括:定义业务战略和成果、数据清单和映射、识别保护面、由内而外的设计、确定谁/什么需要访问、架构师网络和创建策略、检查并记录所有流量、监控维护。

企业部署零信任隐私方案仍存在一定的挑战,包括相互冲突的法律、组织认同、建立委员会、不安全的数据、安全态势的变化等;需要进一步了解监管环境,得到企业领导层的支持,组建跨职能团队,进一步掌握企业的数据以及文化等。

本文作者:

奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,研究网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。

陈华平:奇安信集团副总裁,产业发展研究中心负责人。

乔思远:产业发展研究中心研究员,主要负责宏观分析和产品技术研究。

标签:

相关阅读