前往小程序,Get更优阅读体验!
立即前往
发布
社区首页 >专栏 >零信任网络架构最通俗易懂的解释

零信任网络架构最通俗易懂的解释

作者头像
ICT系统集成阿祥
发布2024-12-03 18:42:36
发布2024-12-03 18:42:36
1480
举报
文章被收录于专栏:数通

讲零信任,要先从VPN说起。

在电影《指环王》的圣盔谷守卫战中,洛汗军民依托城堡坚固的防御工事,一次次打退敌军的攻击,却因敌人利用了一条通向城内的下水道将厚重的城墙炸穿,攻守形势瞬间逆转。

VPN作为企业远程办公的常用工具,如今也如同那个致命的下水道一样,反倒为黑客突破层层边界防御提供了“捷径”。

01

把VPN比作“小区门卫”,安全破绽有多少?

如果把VPN网关比作小区门卫,在外网环境下通过VPN访问公司内网应用,好比小甲要去位于该小区的小乙家玩,门卫只需对小甲身份和来意简单盘问即可放他进门。

VPN网关IP和连接端口须映射到互联网,能被黑客扫描到并发起攻击。这就好比如对小乙家图谋不轨的法外狂徒张三,可以轻易地获取到小乙家的地址。面对小区门卫,张三使点小伎俩,即可骗过门卫,进入小区。比方说:

由于VPN默认“信任”所有内部访问流量,因此一旦VPN网关被攻破,就没有更进一步的安全措施阻止攻击到达企业数字资产。也就是说,只要张三骗过门卫进入小区,就可以:

除了盗窃和破坏,张三还能叫来一大群地痞流氓,围住小区门口不让进出,勒索小区住户打钱……

02

若小区门卫懂得零信任,张三还能得手吗?

按照Gartner所定义的零信任最佳实践——SDP(软件定义边界)技术路线,零信任架构是无法被检测到的,因此企业应用不会对外暴露端口和IP,只有通过授权的客户端才能使用专有协议进行连接。

换言之,这回小区门卫守的只是一个虚拟的小区大门,小乙家真实地址对外是隐形的,即便是作为朋友的小甲也无从得知。小区还加设了一个访客接待中心,小甲需要通过一整套的访客接待机制验证,才能顺利到达小乙家:

这样一来,狂徒张三对小乙家作案的机会,将被层层拦截:

零信任的中心思想就是不信任内部或外部的任何用户、设备、服务或应用程序,必须通过身份和访问管理过程才能获得最低级别的信任和访问权限。

若小区门卫懂得零信任,张三便再也无法在小区内肆意作案。同样地,VPN的缺陷给企业内部应用和数字资产带来的威胁,也能被零信任架构逐一封死。

说到这,什么是零信任,零信任为何能保障企业应用安全,你get了吗~

文章来自网络,用于传播知识,如有侵删

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-11-12,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 ICT系统集成阿祥 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 01
  • 把VPN比作“小区门卫”,安全破绽有多少?
  • 02
  • 若小区门卫懂得零信任,张三还能得手吗?
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档