type
status
date
slug
summary
tags
category
icon
password
传统IT网络安全是基于城堡加护城河的概念,如果获得网络访问权限,相当于进入了城堡,就可以自由支配网络内容。零信任架构摒弃了传统网络安全概念,不信任任何人和物。通过持续监控,最低权限,设备访问控制,多因素身份验证等来实现。通过SASE(安全访问服务边缘)来实现零信任。零信任网络访问(ZTNA)是主要技术,使用软件定义边界(SDP)的技术,隐藏零大多数基础设施和服务,在设备和他们需要的资源间建立一对一的加密连接。
首先需要了解IAM(身份和访问管理),是一种说明客户身份及行为权限的方式。IAM在云计算中十分重要,云计算环境将数据存储暴露在internet上,解构了用户访问时间和地点的限制,因此IAM是访问控制最重要的方面。IAM可以由IdP(身份提供商),IDaaS(身份即服务来提供)。
SASE(安全访问服务边缘),将软件定义的广域网(SD-WAN)功能与一些网络安全功能结合,SASE可以让员工在任何地方进行身份验证,安全连接到内部资源,且控制内部网络流量和数据。核心安全组件包括: 安全网关, 云访问安全代理, 零信任网络, 防火墙即服务。SASE框架优点:基于身份的零信任网络访问,阻止攻击,防止恶意活动,实施管理/策略管理更简单,延迟优化的路由。SASE将网络控制置于云端边缘,解耦企业数据中心。
身份验证和授权: 身份验证 -》 验证身份, 授权 -》 定义权限
远程访问: 使用虚拟专用网路VPN, VPN服务器通过与客户端建立一种VPN隧道的加密连接。
总结: cloudflare one提供了零信任网络的一整套解决方案,通过在云端边缘部署SASE,提供身份验证和授权,实现了通过VPN连接之后的实时信息访问控制。相比目前企业使用的自己搭建的粗糙的vpn连接,这种访问控制提供了更细腻的控制策略,值得体验一下。
- 作者:Roger
- 链接:https://complexity.buzz/article/44a0408a-bdce-4ec2-9fa7-8c17e6b689f3
- 声明:没有版权,就说是你写的