和零信任相比,精益信任有以下不同:
1)信任控制理念不同
相比于零信任“從不信任,總是驗(yàn)證”的理念,精益信任通過信任和風(fēng)險(xiǎn)的反饋控制,實(shí)現(xiàn)“精確而足夠”的信任。對(duì)零信任的嚴(yán)格解釋,意味著信任永遠(yuǎn)為零,不具有擴(kuò)展、變化能力。而精益信任認(rèn)為信任不是靜態(tài)的,信任水平會(huì)隨行為��、環(huán)境的變化而變化��。宏觀來看信任也不是二進(jìn)制的,在可信和不可信之間,應(yīng)該有中間地帶��。
2)實(shí)現(xiàn)路徑不同
已有的零信任架構(gòu)多圍繞身份進(jìn)行構(gòu)建,聚焦于身份管理和訪問控制��。精益信任架構(gòu)則以風(fēng)險(xiǎn)和信任為中心,與端點(diǎn)檢測(cè)響應(yīng)����、態(tài)勢(shì)感知�、VPN等安全組件進(jìn)行聯(lián)動(dòng),統(tǒng)籌了內(nèi)外網(wǎng)的安全監(jiān)測(cè)和控制機(jī)制,實(shí)現(xiàn)安全架構(gòu)的重構(gòu)。身份安全只是精益信任架構(gòu)的一部分���。
總的來說,在精益信任中,業(yè)務(wù)交互以信任為基石,業(yè)務(wù)的開展需要信任的建立����。并且,信任與風(fēng)險(xiǎn)相伴相生,網(wǎng)絡(luò)安全不能實(shí)現(xiàn)零風(fēng)險(xiǎn),只能管理風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的管理,通過對(duì)信任的控制實(shí)現(xiàn)�。進(jìn)一步,還要持續(xù)監(jiān)測(cè)評(píng)估風(fēng)險(xiǎn),根據(jù)業(yè)務(wù)的需要和風(fēng)險(xiǎn)的反饋,持續(xù)調(diào)整信任。這一整個(gè)信任與風(fēng)險(xiǎn)的精益控制回路,是精益信任的核心理念�。
精益信任落地架構(gòu)
基于精益信任理念,深信服實(shí)踐了精益信任安全架構(gòu):
架構(gòu)包含精益信任平臺(tái)和精益信任插件。精益信任平臺(tái)部署于應(yīng)用服務(wù)區(qū)和訪問終端之間,對(duì)應(yīng)用服務(wù)區(qū)進(jìn)行保護(hù)和訪問行為控制����。精益信任插件部署在訪問終端和后端應(yīng)用系統(tǒng),負(fù)責(zé)對(duì)終端進(jìn)行安全認(rèn)證、威脅保護(hù)和設(shè)備感知,對(duì)應(yīng)用進(jìn)行攻擊防護(hù)和感知檢測(cè)����。
該架構(gòu)中,精益信任理念的落地,主要分為兩個(gè)階段:
1)信任建立階段:
信任建立前,默認(rèn)任何用戶、設(shè)備都不可信��。依據(jù)身份��、設(shè)備���、環(huán)境的多源上下文信息,在信任控制中心對(duì)用戶�、設(shè)備進(jìn)行信任的評(píng)估,依據(jù)評(píng)估結(jié)果確定信任等級(jí),建立信任��?�;谛湃蔚燃?jí)和資源安全等級(jí),確定訪問控制規(guī)則,下發(fā)安全接入網(wǎng)關(guān),開展業(yè)務(wù)訪問���。
2)信任和風(fēng)險(xiǎn)控制階段:
訪問過程中,通過檢測(cè)分析中心�����、終端管理中心��、身份認(rèn)證中心,對(duì)訪問行為����、設(shè)備狀態(tài)、環(huán)境態(tài)勢(shì)��、資源安全等級(jí)進(jìn)行持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估���。依據(jù)評(píng)估結(jié)果,精益調(diào)整信任等級(jí)以及訪問控制規(guī)則。持續(xù)循環(huán)反饋,實(shí)現(xiàn)信任和風(fēng)險(xiǎn)的精益控制�。
