网络如何为零信任提供支撑
发布时间:2022-08-26 11:17:42 所属栏目:安全 来源:互联网
导读:构建零信任架构通常要求对网络资源给予足够的访问权限,这样用户就可以完成他们的工作任务,网络本身也可以提供帮助。 简单地说,零信任要求验证每个试图访问网络的用户和设备,并实施严格的访问控制和身份管理措施,让授权用户只能访问他们工作所需的资源。
|
构建零信任架构通常要求对网络资源给予足够的访问权限,这样用户就可以完成他们的工作任务,网络本身也可以提供帮助。 简单地说,零信任要求验证每个试图访问网络的用户和设备,并实施严格的访问控制和身份管理措施,让授权用户只能访问他们工作所需的资源。 零信任作为一种架构有许多潜在的解决方案可供选择,但这只是适用于网络领域的一种解决方案。 另一种方法是第二层分段,通过设备和接入交换机之间的内联安全过滤将终端用户和他们的设备隔离开来。但是在每个用户和交换机之间安装防火墙的成本可能会非常昂贵。另一种方法是基于端口的网络访问控制,它基于身份验证或请求方证书授予访问权限并将每个节点分配给第三层虚拟局域网(VLAN)。 这些方法通常通过802.1x标准和可扩展认证协议在有线和无线接入网络上使用。然而,组织可能无法利用供应商的最终用户角色、身份验证凭据、设备配置文件和高级流量筛选等更全面的功能,并根据用户的可信度级别对其进行分段。 创建应用程序隔离区的常用方法包括将访问电缆和端口分离到第三层子网(VLAN)中,并执行内联过滤。过滤可以通过网络设备(例如路由器)执行,也可以通过对用户身份和角色有所了解的防火墙或代理服务器执行。一个典型的示例是标准的三层Web应用程序体系结构,其中Web服务器、应用程序服务器和数据库服务器位于不同的子网中。 数据包标记(使用内部标识符标记数据包)可用于在接口之间建立信任关系,并根据其身份和授权隔离最终用户设备的数据包。组织可以在包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec在内的协议中添加标签。还有一种方法是分段路由,在IPv6包中使用一个特殊的路由报头来控制MPLS或IPv6网络上的通信路径。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号