超级会员免费看
多域网络中的决策主导零信任防御
1. 引言
随着 5G 网络威胁和攻击面的不断增加,传统的基于边界的静态防御机制已难以应对复杂的网络攻击,如高级持续性威胁(APTs)。高级攻击者能够绕过边界的传统入侵检测,获取内部权限并在网络中横向移动。零信任作为一种有前景的安全框架应运而生,它假设没有实体可以被信任,因此对每个传入的访问请求都需要进行验证。
2. 零信任防御概述
零信任防御(ZTD)由信任评估和访问策略两个部分组成:
- 信任评估 :定量确定网络中每个实体的可信度,这在大规模异构网络实体的 5G 网络中极具挑战性。由于网络连接性的增加,防御者只能通过入侵检测系统(IDS)和安全信息与事件管理(SIEM)等方法获取用户轨迹的有限部分观察,这些有限的观察造成了信息不对称,使防御者的决策变得复杂,因此使用部分观察来衡量用户可信度的定量指标不可或缺。
- 访问策略 :防御者根据信任评估结果,对网络资源的访问执行不同的策略。与基于边界的防御不同,ZTD 的信任评估、访问策略和网络监控单元构成了一个反馈循环。随着新的观察被输入评估单元,防御者相应地调整信任和访问策略,从而实现动态防御。
2.1 零信任防御反馈循环
graph LR
A[安全监控系统] --> B[信任评估单元]
B --> C[访问策略单元]
C --> D[网络资源访问]
D --> A
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
