从RSAC 2023看零信任安全发展趋势_全球信息
以零信任为核心的身份安全是近年来网络安全创新的热点方向,也是RSAC大会上讨论的热门话题。本文分析近年来零信任安全创新发展脉络,聚焦本届RSAC大会零信任安全与云原生安全、开发安全、数据隐私安全相结合的最新动态。
一.零信任具有持续的创新活力,并且与其他热门方向紧密关联
(资料图片仅供参考)
在创新沙盒板块上,零信任为云业务应用的发展为身份安全注入新的活力,逐渐往多云(multicloud)环境发展。零信任不断完善并用于构建弹性网络,并解决云上复杂应用的访问控制管理。
2018年,随着零信任框架和谷歌零信任应用的出现,零信任成为身份安全领域的新理念与创新热点;2019年,随着云应用的发展,云访问安全成为热点,从事IDaaS及防止身份滥用的创新企业入选创新沙盒TOP10;2020年,零信任热度有所减退,被供应链安全和云安全的热度所取代;2021年,疫情下远程办公的需要使得云访问安全再度成为热点,“弹性”也 成为本届RSAC大会主题,零信任被认为是建设“弹性” 网络的安全基础设施,再度回到创新沙盒TOP10的榜单;2022年,零信任机制得到更多实践,零信任模型的改进和创新应用成为热点;2023年,在人工智能与自动化大火的背景下,零信任依然保持了热度,创新企业提出新型零信任方案,通过统一的访问控制方式监控和管理所有第三方的应用连接。
零信任具有持续的创新活力,并且与云安全、开发安全、数据与隐私安全等其他热门方向紧密关联。这种特点也体现在RSAC2023的热点议题中。
二.云环境下的零信任安全部署
在题为“Zero Effort, Zero Trust, K8s Security for Blocking Zero Day Attacks”的报告中,来自SUSE的专家对云上(K8S)的零信任安全作出了新的解读。
在云上部署身份安全业务,与签名/威胁匹配相比,零信任具有显著的优势。签名/威胁匹配能够实现的功能包括:CVE、数据丢失防护、网络攻击检测、WAF OWASP、准入控制等,而零信任访问控制能够进一步细化网络安全策略,融入容器进程,实现注册表源准入控制以及基于角色的访问控制(RBAC)。
那么如何在Kubernetes 部署零信呢?报告展示了一个开源的零信任项目CNCF Open Zero Trust,它是NeuVector 的上游项目,能够实现零信任 Kubernetes 网络策略、零信任容器进程;实现基于行为的自动化零信任部署,包括识别应用程序行为(学习模式)、对任何异常应用程序行为发出警报、监控没有异常的应用程序行为。
将开放零信任或 NeuVector 部署到 Kubernetes 集群中,实现的功能包括:第 7 层集群内所有网络活动的安全策略、每个容器的所有进程行为的安全策略、报告任何活动的传入网络攻击、报告所有漏洞和安全配置错误;更进一步,它能够在任何 Kubernetes 集群中使用零信任保护任何工作负载,能够使用保护模式作为对抗实时攻击的对策或作为,保护未打补丁或无法打补丁的 CVE 攻击。
三.安全左移-开发安全中的零信任应用
在题为“Implement ZeroTrust with dedicated DevSecOps Pipeline”的报告中,来自Roche的专家提出了安全左移的零信任开发安全,在应用程序生命周期的早期应用安全控制,使得开发人员拥有更多的安全性。
在零信任成熟度模型 2.0中提出了安全应用程序开发和部署工作流程的新功能,机构使用不同且协调的团队进行开发、安全和操作,同时取消开发人员对生产环境的访问以进行代码部署。
零信任的实施分为两个阶段:在初级模式(信任但验证)中,Agency 为开发、测试和生产环境(包括自动化)提供基础设施,通过 CI/CD 管道和必要的正式代码部署机制,支持最小特权原则的访问控制。
在高级模式(零信任)中,安全自动化成为优先选项,机构使用不同且协调的团队进行开发、安全和操作,同时取消开发人员对生产环境的访问以进行代码部署。
四.零信任的数据与隐私安全
在“Zero Trust Privacy: Rethinking a Data Strategy”的报告中,专家提出应用零信任原则来履行隐私义务,以实现合适的人正确访问合适的资源,包括正确的时间 、正确的位置、使用正确的设备、为了正确的服务,以及正确的访问对象。
报告提出了零信任隐私支持监管义务的12条原则(合规对象包括GDPR以及加州消费者隐私法):
1. 数据保护官-评估隐私和数据保护治理结构以及对数据保护官 (DPO) 的需求。
2. 处理的法律依据-评估收集和处理个人数据的法律依据。
3. 隐私声明和披露-评估外部隐私通知和披露以及内部政策和员工培训程序。
4.同意管理-在依赖个人同意处理个人数据时,评估同意做法。
5. 个人隐私权-评估处理个人权利的流程(例如,个人数据的访问、纠正、擦除和可移植性)。
6. 隐私影响分析-评估数据收集和使用实践以确定是否需要数据保护影响评估 (DPIA)。
7. 处理记录-评估处理活动和数据清单的记录以及维护此类记录的过程。
8.跨境数据传输-评估将个人数据传输到规定区域之外的合法机制。
9. 第三方管理-评估与之共享个人数据的第三方供应商的合同协议和控制验证程序。
10. 设计和默认隐私-评估数据最小化和保留实践;验证在新实施之前考虑了隐私保护措施。
11. 数据安全-评估用于帮助确保个人数据的机密性、可用性和完整性的数据安全控制。
12. 违规通知-评估事件响应程序和违规通知流程。
报告进一步提出了零信任隐私实施方案,包括:定义业务战略和成果、数据清单和映射、识别保护面、由内而外的设计、确定谁/什么需要访问、架构师网络和创建策略、检查并记录所有流量、监控维护。
企业部署零信任隐私方案仍存在一定的挑战,包括相互冲突的法律、组织认同、建立委员会、不安全的数据、安全态势的变化等;需要进一步了解监管环境,得到企业领导层的支持,组建跨职能团队,进一步掌握企业的数据以及文化等。
本文作者:
奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,研究网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。
陈华平:奇安信集团副总裁,产业发展研究中心负责人。
乔思远:产业发展研究中心研究员,主要负责宏观分析和产品技术研究。
标签:
相关阅读
-
从RSAC 2023看零信任安全发展趋势_全球信息
以零信任为核心的身份安全是近年来网络安全创新的热点方向,也是RSA... -
看热讯:国家能源集团网络安全技术培训...
5月19日,为期5天的2023年国家能源集团网络安全技术培训会圆满完成... -
一种网络空间安全体系结构建模方法研究...
摘要随着网络空间蓬勃发展,安全问题日益凸显,网络空间安全由于复... -
快讯:Apple WebKit多个高危漏洞安全风险通告
AppleWebKit是由苹果公司开发的一款开源浏览器引擎,它是Safari浏览... -
全球观速讯丨IDC:2022年中国IT安全软件...
IDC《2022年第四季度中国IT安全软件市场跟踪报告》显示,2022年下半... -
用友NC反序列化漏洞安全风险通告 环球速讯
用友NC是一款企业级ERP软件。作为一种信息化管理工具,用友NC提供了...