零信任架构是什么?|与传统边界防御的区别——面向IT护照考试整理
面向IT护照考试,整理零信任的基本原则、与传统边界防御的区别,以及其与SASE、SD-WAN的关系。
零信任是什么
零信任的基本原则是“Never Trust, Always Verify”(绝不信任,始终验证)。这一概念于2010年由Forrester Research提出。随后,在2020年新冠疫情导致远程办公普及的背景下,其关注度急剧上升。
为什么传统的边界防御不够充分
传统:边界防御模型
传统的边界防御模型基于“内部可信,外部危险”的前提。它假设通过防火墙保护边界即可确保内部安全,并认为通过VPN从外部访问即可视为内部访问。
边界防御的局限性
然而,随着云服务的普及,“内部”的边界变得模糊。远程办公和BYOD(自带设备)的普及导致终端设备存在于边界之外的情况增多,同时内部犯罪和针对性攻击突破边界的案例也屡见不鲜。
零信任的主要原则
零信任的主要原则有五条。第一,基于位置、设备和时间对所有访问进行验证。第二,应用最小权限原则,仅授予必要的最低访问权限。第三,根据风险动态评估权限。第四,确保所有通信都进行加密。第五,记录所有访问日志并加强监控。
实现零信任的技术
IAM(身份与访问管理)
IAM对用户的身份认证和授权进行统一管理。其中,彻底实施MFA(多因素认证)尤为重要。关于认证与授权的区别,在认证与授权的区别中有详细说明。
EDR / XDR
EDR(端点检测与响应)和XDR是检测端点或整个系统威胁的技术。通过这些技术,可以及早发现异常行为。
微隔离
微隔离将网络细分为多个部分,并基于最小权限原则控制连接。这样可以在发生入侵时限制影响范围。
SASE(安全访问服务边缘)
SASE(安全访问服务边缘)是一种将网络功能和安全功能在云端统一提供的架构。它实现了不依赖于位置的、安全的访问。
IT护照考试的出题要点
在IT护照考试中,“Never Trust, Always Verify”原则是高频考点。此外,理解其与传统边界防御的区别也很重要。多因素认证的彻底实施以及远程办公时代零信任的必要性也常被问及。
历年真题的典型模式
- “关于零信任理念,以下哪项是正确的?”类型
- “与传统边界防御的区别是什么?”类型
相关术语
- 与VPN的关系(VPN是什么)
- 防火墙(防火墙、WAF、IDS/IPS)
- 认证与授权(认证与授权的区别)
- 网络攻击(网络攻击类型汇总)
学习技巧
学习技巧方面,首先建议记住“Never Trust, Always Verify”这一句话原则。其次,理解从边界防御向零信任转变的背景——即云服务和远程办公的普及——至关重要。此外,要掌握最小权限和多因素认证是必要要素。
总结
掌握零信任的原则、与传统边界防御的对比以及实现技术,就能在相关题目中稳定得分。想要全面练习技术类内容的读者,请参阅技术类汇总。要解答模拟考试形式的问题,建议使用模拟考试。
関連記事
网络攻击类型总结|面向IT护照考试整理的恶意软件、勒索软件、定向攻击
针对IT护照考试中涉及的勒索软件、定向攻击、SQL注入、XSS、钓鱼、DoS等网络攻击类型及对策进行整理。
数字签名与时间戳的原理|IT护照考试备考
整理数字签名(电子签名)的原理、时间戳的作用、PKI与认证机构(CA)的关系,范围涵盖IT护照考试所问内容。
防火墙·WAF·IDS/IPS的区别|IT护照考试对策
针对IT护照考试,整理了保护网络的代表性安全设备——防火墙、WAF、IDS、IPS的作用、工作层区别及出题要点。