零信任网络架构最通俗易懂的解释

转载 于 2024-11-13 07:30:09 发布
· 115 阅读 · 1 ·
版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzU2OTYyODY4NA==&mid=2247498286&idx=1&sn=d13105be27c80a0af931f783906c2691&chksm=fdae8746a0dfd442872a41527cc200086b36e69ff4bfcc516adb5d46cb4c4719560bbf2a76ae&scene=126&sessionid=0
文章标签:

#网络 #架构

讲零信任,要先从VPN说起。

在电影《指环王》的圣盔谷守卫战中,洛汗军民依托城堡坚固的防御工事,一次次打退敌军的攻击,却因敌人利用了一条通向城内的下水道将厚重的城墙炸穿,攻守形势瞬间逆转。

VPN作为企业远程办公的常用工具,如今也如同那个致命的下水道一样,反倒为黑客突破层层边界防御提供了“捷径”。

64abacda2e074cf0476a3e31c16e139d.jpeg

01

把VPN比作“小区门卫”,安全破绽有多少?

如果把VPN网关比作小区门卫,在外网环境下通过VPN访问公司内网应用,好比小甲要去位于该小区的小乙家玩,门卫只需对小甲身份和来意简单盘问即可放他进门。

29bc01eff066e63bab6138752a55f9d4.jpeg

VPN网关IP和连接端口须映射到互联网,能被黑客扫描到并发起攻击。这就好比如对小乙家图谋不轨的法外狂徒张三,可以轻易地获取到小乙家的地址。面对小区门卫,张三使点小伎俩,即可骗过门卫,进入小区。比方说:

9e161bcc1a6c4805a8cd2d1ac93744ac.jpeg

由于VPN默认“信任”所有内部访问流量,因此一旦VPN网关被攻破,就没有更进一步的安全措施阻止攻击到达企业数字资产。也就是说,只要张三骗过门卫进入小区,就可以:

75c56675c050bc265821590c4e69f76d.jpeg

除了盗窃和破坏,张三还能叫来一大群地痞流氓,围住小区门口不让进出,勒索小区住户打钱……

3fab634d9b7a3308ddc5ac1c46367a2a.jpeg

02

若小区门卫懂得零信任,张三还能得手吗?

按照Gartner所定义的零信任最佳实践——SDP(软件定义边界)技术路线,零信任架构是无法被检测到的,因此企业应用不会对外暴露端口和IP,只有通过授权的客户端才能使用专有协议进行连接。

换言之,这回小区门卫守的只是一个虚拟的小区大门,小乙家真实地址对外是隐形的,即便是作为朋友的小甲也无从得知。小区还加设了一个访客接待中心,小甲需要通过一整套的访客接待机制验证,才能顺利到达小乙家:

fa9298831f031e996ed2dd155872729c.jpeg

这样一来,狂徒张三对小乙家作案的机会,将被层层拦截:

20f3217e53df85367196abc689d2e59c.jpeg

零信任的中心思想就是不信任内部或外部的任何用户、设备、服务或应用程序,必须通过身份和访问管理过程才能获得最低级别的信任和访问权限。

若小区门卫懂得零信任,张三便再也无法在小区内肆意作案。同样地,VPN的缺陷给企业内部应用和数字资产带来的威胁,也能被零信任架构逐一封死。

说到这,什么是零信任,零信任为何能保障企业应用安全,你get了吗~

文章来自网络,用于传播知识,如有侵删

不想错过文章内容?读完请点一下“在看12ad35bab09e680c5b3671a9f070bd52.gif,加个关注”,您的支持是我创作的动力

期待您的一键三连支持(点赞、在看、分享~)

博客
VLAN=子网?这个误解太深了!
06-06 271
当网络管理员面对“销售部电脑不能访问研发服务器”或“会议室IP总冲突”这些问题时,VLAN和子网就是解决问题的两把利剑。:192.168.1.0/24 ≠ 192.168.1.0/255.255.255.0(历史遗留问题)灵活组网:跨物理位置的逻辑分组(如所有会议室同属VLAN 30)子网方案:为会议室分配专用IP段(如10.10.30.0/24)安全策略:基于IP的防火墙规则(如禁止销售网段访问数据库)VLAN方案:所有会议室端口划入独立VLAN。1. VLAN(虚拟局域网):二层隔离术。
博客
IPS和IDS的区别与作用!列表对比,一文了解!
06-05 363
在实际部署中,IPS 和 IDS 往往协同工作,IPS 负责第一道实时拦截,IDS 则在更深层提供监控和检测,共同构建动态防御体系。IPS(入侵防御系统)和IDS(入侵检测系统)都是网络安全的核心组件,但它们在功能、部署方式和目标上存在关键区别。‌ IDS 提供全面的监控和取证能力,IPS 提供实时的主动防御层。‌ 时刻监控,发现小偷(攻击者)就拉响警报(告警),提醒保安(管理员)来处理,但它自己不会抓小偷。‌ 不仅识别出小偷(攻击者),还会自动触发门禁将其阻挡在外(阻断攻击),同时也会通知保安(告警)。
博客
华为分布式存储的EC冗余模式还有人不知道是什么?
06-04 289
如果把n+m份数据分布在存储系统的不同节点上,那么任意小于等于m个节点故障(m份数据失效),都可以通过其他剩余的数据还原出原始数据,从而达到不影响业务的目的。从空间利用率上,EC是优于多副本的,以4+2为例,空间利用率为4/(4+2)=67%。机柜个数大于等于(N+2)/2向上取整且小于N+2时,或者允许同时故障1个机柜,或者允许同时故障2个存储节点。节点个数大于等于(N+2)/2向上取整且小于N+2时,允许同时故障1个存储节点,或者允许同时故障2块主存盘。‌(如节点故障后延迟启动修复),减少资源争用。
博客
护网(HW)必备!QDoctor应急响应神器:一键检测系统安全
06-03 35
💎 奇安信集团推出的这款应急处置利器,可谓是网络安全初学者的多功能工具箱。💡 这些功能模块采用直观的"点击即用"界面设计,即使是安全领域的新人,也能迅速识别和处理系统异常状况。这款工具对于安全新手来说确实是个不错的选择,界面友好、功能全面。护网期间,应急响应的效率直接决定了防护成败。——通过结构化数据的便捷导出/导入能力,使威胁分析工作变得如同搭建积木般轻松直观。结合威胁情报平台的协同作用,用户甚至可以构建全自动化的分析处理流程。直观展示系统安全机制,是新员工培训的得力工具。
博客
告别被动挨打!一文读懂动态WAF如何防御自动化攻击
05-31 847
Gartner 2018年WAF魔力象限报告》指出,尽管全球WAF市场容量高达8.5亿美元,中国WAF市场更以14%-15% 的速度逐年增长,但传统WAF的防护瓶颈已愈加凸显。面对传统WAF的困境,安全领域的创新者提出了一个颠覆性思路:如果防御不再是固定的靶子,而是不断变化的迷宫,攻击者又将如何下手?传统WAF难以有效保护的API接口,动态WAF通过动态令牌和客户端绑定技术,确保只有合法客户端能调用API,有效防止数据泄露。今天,让我们一起揭开动态WAF的神秘面纱,看看它与传统WAF究竟有何不同。
博客
一文读懂 XFF 字段原理、漏洞与防范
05-30 495
它诞生的初衷是充满善意的,旨在当客户端通过代理服务器访问网站时,代理服务器能够在请求头中添加 X - Forwarded - For 字段,并将客户端的真实 IP 地址填入其中,这样后端服务器就能清晰知晓真正发起请求的客户端是谁。最终,黑客获取了大量客户的账户信息,包括敏感的资金数据和个人身份信息。倘若后端服务器没有对这个字段进行严格的验证和处理,就如同在自家门口随意接纳不明身份的访客,可能会根据伪造的 IP 地址做出错误的判断,比如给予非法访问权限、记录错误的用户行为等,进而导致安全漏洞。
博客
2025年主流厂商核心交换机产品的选型图鉴,综合技术参数与市场反馈
05-29 376
华为CloudEngine 16800(23.8KW功耗)需配套专用机房,中兴ZXR10 9900风冷方案更适合改造型数据中心。思科Nexus 7700(83Tbps)与新华三S12500X-AF(4.8Tbps单槽位)形成梯度选择。S12500G-AF系列集成GPU运算能力,支持100G/400G混合组网与IPv6+原生协议。国密算法硬件加密模块+混合速率管理引擎,支持25G/100G灵活组网。超大规模数据中心(如金融交易系统)、跨区域算力调度(东数西算工程)
博客
防火墙&网闸的区别还有人不知道吗
05-28 356
‌:部分行业(如电力、金融)要求同时部署防火墙与网闸,前者用于日常流量管控,后者保护核心业务系统,构筑纵深防御体系。物理隔离:完全断开网络协议连接,通过私有协议摆渡实现单向/受限数据传输,零信任架构基础。隔离OT网络与IT网络,阻断针对工控协议的恶意指令注入(如Modbus TCP攻击)。剥离网络协议(如TCP/IP),采用文件摆渡或私有协议传输,无法保持持续性会话连接。逻辑隔离:策略驱动的流量过滤,允许合法通信实时双向传输,依赖协议解析与规则库。高延迟(毫秒级),传输效率受限,适用于非实时数据传输场景。
博客
H3C交换机、路由器、防火墙常用指令,详细分类,一篇整理!
05-27 303
二、H3C路由器常用指令。三、H3C防火墙常用指令。IPSec VPN配置。应用层控制(ASPF)链路聚合(LACP)生成树协议(STP). NAT与DHCP。
博客
2025年主流防火墙行业权威榜单,谁才是你心中的goat?
05-26 680
自研安全操作系统(StoneOS 5.5R9)支持300+功能特性升级、云安全原子能力与微隔离技术、数据安全三维治理体系(制度/运营/技术。‌:云原生安全组件(适配华为云FusionPlant平台)、AI驱动的威胁检测引擎(集成昇腾芯片加速)山石云·界(云安全资源池)、山石云·格(云内微隔离)、智能分析管理平台(SaaS化安全运维。智慧矿山网络安全解决方案(工控协议防护)、DPX8000系列应用防火墙、数据安全管控平台。‌:绿盟云安全资源池、威胁情报分析系统(TIP)、工业互联网安全监测平台。
博客
交换机日常维护秘籍,老网工手把手教你轻松搞定
05-23 620
你可以找台电脑,和交换机连在同一网络,登录交换机管理界面,找到 “配置导出” 选项,把文件保存到电脑里,文件名加上日期,比如 “20241001 - 交换机配置”。每次路过交换机,扫一眼端口指示灯。正常情况下,网线插好后,对应端口的灯是亮着的,设备传输数据时,灯还会一闪一闪。先重新插拔网线,要是不行,换根网线试试,还不行就可能是端口故障,得找专业人员维修。配置备份:按照之前教的方法,导出交换机配置文件,保存到移动硬盘或云盘里,文件名加上备份日期和设备名称,比如 “20241130 - 办公室交换机配置”。
博客
Windows安全测试命令大全!快来看看你知道几个?
05-22 53
本文系统性地整理了Windows环境下进行网络安全测试的核心命令集,涵盖从基础信息收集到高级域环境评估的完整工具链。本文精心梳理了Windows环境下进行内网安全测试时最常用且高效的命令集合,为安全工程师提供一份详实的参考指南。🔍 通过此指令,安全测评人员能获取包括密码更新时间、账户有效期、权限归属等敏感信息,有助于发现潜在的账户安全风险。💡 此操作可列举出当前系统内的所有本地账户信息,对于初步评估系统账户安全性具有重要意义。:将本手册作为日常工作的快速参考,助力安全评估工作的顺利开展。
博客
边缘云的定义、实现与典型应用场景!与传统云计算的区别!
05-21 583
边缘云通过分布式资源和本地化服务,解决了传统云计算在‌实时性、带宽成本和数据安全‌方面的瓶颈,成为支撑智能制造、智慧城市等新兴领域的关键基础设施。在靠近用户的区域(如城市级或企业级)部署轻量化数据中心或服务器集群,形成边缘计算节点。‌边缘云‌:处理实时任务(如数据分析、视频转码)并缓存高频访问内容。敏感数据(如医疗影像)可在边缘节点加密存储和处理,减少传输暴露风险。‌智能调度‌:动态分配任务至最优节点(如根据负载、距离和时延)。‌本地化存储‌:在边缘节点保留高频数据副本,减少云端访问频率。
博客
MB/S和Mbps还傻傻分不清楚?【网络基础】
05-20 563
MB(兆字节)‌和‌Mbps(兆比特每秒)‌是两种不同的单位,主要用于衡量不同的数据指标。‌广告误导‌:网络服务商通常用 ‌Mbps‌ 标称带宽,但用户下载时看到的是 ‌MB/s‌,需自行换算(÷8)。例如:运营商宣传的“500M宽带”指 ‌500 Mbps‌,而非 500 MB/s。因此,‌1 MB/s(兆字节每秒) = 8 Mbps(兆比特每秒)‌。‌1 字节(Byte) = 8 比特(bit)‌。‌Mbps‌:用于网络速度(如宽带、下载速率)。‌换算关系‌:1 MB/s = 8 Mbps。
博客
华为云stack网络平面有哪些?作用及技术实现介绍!
05-19 597
通过Tap接口接入Linux Bridge(qbrxxx),经OVS网桥(br-int)转发流量。处理外部API调用及管理指令下发(如Portal操作),通过反向代理与内部组件交互。承载内部组件通信(如Nova与Cinder间交互)、PXE安装流量及运维管理通道。支持多租户隔离,不同租户的网络通过VXLAN实现逻辑隔离,保障业务安全性与独立性。为块存储设备(如分布式存储)提供专用通信通道,支持存储资源池化与管理。所有节点(管理节点、计算节点)及组件均分配独立IP,禁止外部访问。
博客
VLAN是什么,一个好的网络为什么要划分VLAN呢?
05-16 101
比如上图的区域一划分进VLAN 10,区域二划分进VLAN 20,区域三划分进VLAN 30,大致的规划有了,按照上面介绍的配置中,接口是需要加入对应的VLAN的,那哪些接口需要加入呢?实现这样的需求,想办法把每个区域的广播域限制在该区域内传播,这样就不会影响其他区域了,我们都知道局域网的简称叫做LAN,实现每个区域一个广播域的技术叫做VLAN(Virtual Local Area Network),虚拟局域网,相当于把一个大的局域网,逻辑的分成多个小的局域网,实现每个小的局域网之间是相互独立、隔离;
博客
了解交换口的链路类型以及实际使用场景(access篇)
05-15 100
交换机在收到一个数据的时候,根据接口不同的链路类型会有不一样的操作,目前我们接触到的第一个链路类型是access,处理规则上面列出来了,可能第一次看理解不了,我们先看第一个规则,对接收不带Tag的报文处理,指的就是终端发出数据包的时候没有打VLAN标签的数据,标准的以太网头部,当这样一个数据抵达交换机的时候,交换机怎么处理呢?,比如这里发出打上tag 10,接口属于VLAN 10是一致的,则通过,PC1收到了,如果不相同,比如后面发出打上tag 100,接口属于vlan 10,
博客
为了提高通过率,这个模拟平台限时开放啦!
05-14 151
为方便考生熟悉计算机软件资格考试计算机化考试系统操作流程及操作方法,进一步为考生备考提供便利,工业和信息化部教育与考试中心向参加2025年上半年计算机软件资格考试的考生提供模拟练习平台。模拟练习平台旨在让考生熟悉计算机化考试环境和作答方式,不涉及考试题型、题量、分值等考试内容,以上内容以正式考试答题系统为准。在此期间,报名参加考试的考生可自愿进行网上模拟平台练习。,该练习平台仅支持电脑端登录访问,不支持移动端访问。工业和信息化部教育与考试中心。
博客
负载均衡—会话保持技术详解
05-14 488
在分布式服务器架构中,当客户端与服务器建立交互时,例如用户登录服务器 A 完成身份验证后,若负载均衡器未启用会话保持功能,该用户后续发出的新请求可能会因负载均衡算法的动态调度,被分配至服务器 B。而启用会话保持功能后,负载均衡器会根据预先设定的识别规则(如 IP 地址、Cookie 等),将该客户端的所有相关请求持续分配至同一后端服务器,确保用户会话的连续性,提升系统使用的流畅性与用户满意度。这种机制通过记录和识别客户端的特定标识信息,打破负载均衡器随机分配请求的常规逻辑,实现请求处理的持续性与稳定性。
博客
交换机工作原理,收到一个数据包后交换机是如何处理的(实验加抓包详细了解)
05-13 112
168.255.3后,并且MAC地址也伪装,但是实际PC1去访问服务器,PC2这个伪装并不会影响到服务器,这样就是静态绑定的好处,也是实际中比较常用的方法,因为静态绑定的优先级是高于动态的,所以PC2设置成了服务器一样的IP地址跟MAC也不会影响到服务器,交换机不会把这个MAC地址记录到MAC表中,通过上面查看也可以发现,没有关于G0/0/2的信息,保障了服务器连接的稳定性。,也就是动态学习,竟然是动态学习,那势必就有生存周期,比如这台电脑关机了,在一定时间后,删除掉对应的表项,这样来优化资源,因为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值