坐在桌前在键盘上打字的男士,同时在看着显示数据图表的双屏幕

零信任云安全框架

零信任是一个战略性安全框架,能够应对保护云计算运行安全方面的独特挑战。

为什么选择零信任?

  • 零信任是一种安全策略,能够持续保护免受入侵和恶意代码影响。

  • 基于云的操作需要零信任方法,因为无法建立周界防御。

  • 零信任策略应提供多角度、多层次的保护,从而支持深度防御。

  • 英特尔® 平台提供基于硬件的安全功能,可增强零信任策略与保护。

author-image

作者

安全性是涉及云计算的组织迫切关注的一个问题。云资源通常在组织网络之外运作,无法受到防火墙或其他传统的周界防御系统的控制或保护。此外,防火墙也不足以防御渗透网络的攻击者。

要解决这些问题,需要考虑零信任云安全策略,依靠频繁验证、身份与访问管理和基于角色的单个用户与设备授权,实现用全面、多层的方法保护组织的资产。

为什么选择零信任云安全?

组织的计算工作负载越来越多地依赖云端。同时,由于对安全性的紧迫需求、混合分散型员工的新需求,以及数据分析、机器学习 (ML)、人工智能 (AI)(得益于云能够随时随地不间断地访问软件、数据和其他资源)的激增数据,这一趋势得到进一步推动。云还将组织、网络和用户与边缘计算设备和系统连接起来。

这些趋势催生了大量、多样的用户、设备和应用,它们相互松散地通过云进行连接。然而,这些都可能受到恶意行为和恶意代码的攻击。

网络安全是涉及云的组织的关注重点,因为他们必需保护数据资产、应用、设备和用户。数据管理也在多个行业和国家受到监管,而是否合规则取决于安全措施。

要做到高度有效,网络安全策略必须控制云上和网络上的所有资产访问,积极识别并回应威胁,并快速做出响应从而将攻击带来的损害降到最低并尽快恢复。

实施零信任安全框架是最好、最负责任的建立网络安全文化的做法,特别是在云中。零信任的目标是对所有攻击面的持续保护。这些面包括网络、数据中心、云端和端点的所有物理资产,以及联网的软件、数据和用户本身。

什么是零信任安全?

零信任是一项全面的安全策略,旨在保护组织网络和云端的所有硬件、软件、数据和用户。

零信任安全方法不同于更传统的周界防御策略。在周界防御中,组织通过防火墙和多层软件安全解决方案保护其私有网络的边界,监管并过滤与公有网络之间的流量。一旦某个用户或设备经验证准入私有网络,它们通常会被当作可信任来源。

相比而言,零信任安全框架则预设网络攻击可能在任何时候发生,且并没有所谓值得信任的来源。该框架旨在应用安全技术,保护整个组织基础架构的硬件、软件、数据和用户,每一个用户或设备必须在每一次互动之前进行授权。

零信任随着云计算增长而流行,因为基于云的运行无法被周界防御系统轻易控制。

新冠肺炎 (COVID-19) 的流行加速了向零信任安全的迁移。很多人突然转向远程工作,大量的用户和设备不再被限制在组织的防火墙或其他周界防御系统中。零信任得到更广泛的采用,因为它需要所有用户和设备在每次网络会话之前都需经过验证和授权。在 Okta 2021 年的一项研究中,受调查的全球公司中有 78% 表示由于疫情,零信任已成为更优先的事项。近 90% 已经开始部署零信任工作,而疫情之前这一数字是 41%。1

云端零信任安全的优势

零信任云安全需要动态进行身份和访问管理 (IAM)。必须为合适的用户或设备提供合适资源的访问权限。相反地,未经授权的用户和设备必须被拦截。某些个人可能只限于访问特定资源,访问其他资源时会被拦截。例如,一些大型组织通常会限制系统管理者的权限,这样只有 IT 员工能够访问这些应用和文件。

实施零信任云安全措施帮助组织保护基于云的数据、应用和业务模型免受网络攻击。零信任也会保护客户隐私数据的安全,以符合监管要求和良好商业惯例。

实施零信任云安全

零信任安全框架应在设计初始阶段便整合到全新或升级后的云基础设施计划中。

实施零信任架构和安全政策时,组织应该从深度防御策略开始。这一分层方法利用多个安全措施来保护组织资产。

深度防御应首先建立在受信任的硬件基础上,以更好地保护支持其他技术堆栈的固件、BIOS 和操作系统 (OS)。

加密和平台保护等工具组成下一层防御,解决组织的 IT 安全问题。

最后,基于软件的安全解决方案可以由硬件和固件增强的功能加速、加强。所有底层设施都受到保护后,基于云的应用和其他软件便可以在安全基础上有信心地进行部署。

有了提升后的云端数据安全功能,借由支持保密计算的技术,组织可以获得公有云、私有云或混合云部署带来的成本和灵活性优势。

英特尔和零信任安全

英特尔提供硬件增强工具和功能支持零信任云安全框架。安全功能已内置在英特尔® 芯片中,随时可在软件中启用。

这些功能和其他英特尔® 安全技术可助力改进身份与访问管理,便于实施基于角色的控制和零信任安全流程。

请注意,即使在公有云中,云架构师也可以独立访问其中一些内置功能。其他功能必须由独立的云服务提供商启用。

除这些技术外,英特尔还在开发新的授权服务,代号为“Project Amber”,预计将在 2023 年提供广泛使用。2 Project Amber 将提供第三方鉴证服务,以验证云、边缘和本地环境的可信任度。远程服务将验证保密计算环境,确保正确配置、已更新到最新版本且加载了必备软件,才允许它们处理保密数据。

因为这些技术和工具根植于硬件本身,便帮助减少了潜在的攻击面及私有云、公有云和混合云环境中创建安全隔区的相关威胁。

其他英特尔® 技术帮助保护易受攻击的端点不受未授权用户和恶意代码的攻击。例如,基于英特尔® vPro® 平台的台式机和笔记本电脑包含了英特尔® Hardware Shield 保护系统固件、操作系统、内存、应用和数据免受高级威胁攻击。

拥抱零信任

零信任是一套完整的安全框架,用于保护组织在云、数据中心、端点和边缘的运行和资产。随着组织继续推进数字化和云现代化,在系统设计早期将零信任安全策略加入云架构中至关重要。这一高效的安全策略和支持其全面实施的技术与基础设施应作为优先事项执行。英特尔的安全技术有助于收紧身份和访问管理,实现基于角色的控制和政策,促成整个基础设施的零信任安全。

英特尔® 技术通过可加强第三方安全解决方案的硬件增强功能、优化软件和开发者工具支持零信任云安全。另外,英特尔还与云服务提供商、安全软件供应商、系统集成商合作,针对全球各类计算环境和使用模型构建强大、高效的安全解决方案。

了解安全和云

云安全和传统网络安全不同。云计算的覆盖面远超过自给型网络,包含了不在组织 IT 基础设施直接控制下的设备、数据和软件。所以像零信任云安全这样全面、多层的方法,是保护私有云、公有云和混合云环境中的组织资产及用户的关键。

英特尔® 安全产品

英特尔的全套安全方案涵盖了硬件、软件和工具,可支持云、数据中心和边缘的安全计算。

了解详情

云安全性

云计算安全依赖三个核心功能:保密性、完整性和可用性。这三大运行支柱保证了组织可以在按需获取云提供的计算和存储资源的同时管理风险。

了解详情

云安全架构

多层硬件安全架构和技术对于保护云端数据、工作负载和系统来说至关重要。安全策略和实施计划应该是云平台设计的一部分,而不是事后再进行添加。

了解详情

云部署模型

不同的云部署和服务模式可能需要不同的安全政策与实践。例如,纯粹的私有云环境和公有云或混合云部署的安全性会有不同,而 SaaS、PaaS 和 IaaS 可能在用户数量及类型、运行时加密需求和云服务提供商控制程度方面有所不同。

了解详情

可保障安全性的英特尔® 至强® 可扩展处理器

运用第四代英特尔® 至强® 可扩展处理器,您可以增强安全性、同一性、隐私性以及合规管理。

了解详情

可保障安全性的英特尔® 至强® 可扩展处理器视频

帮助实现零信任安全策略,同时利用先进的硬件增强安全技术,即使针对敏感或受监管的数据,也能释放新的商业合作和洞察机会。

了解详情

显示更多 显示较少

常见问题解答

常见问题解答

零信任是一个全面的框架,为实现严苛的安全性、身份和合规管理而设计,保证了组织网络和云端所有硬件、软件、数据和用户的安全。防火墙这样传统的安全策略可以为防御周界内的用户和设备授权,零信任方案则需要在允许访问前进行反复、持续的授权。英特尔的安全技术与平台通过应对不断升级、变化的物理与虚拟基础设施网络攻击威胁,为零信任框架提供支持。

云计算运行可能容易受到新攻击媒介的伤害,而这些伤害不会受到传统、防御性的、基于周界的网络安全策略保护。零信任云安全框架能够更成功地处理因云端操作加剧的业务问题,包括数据盗窃、供应链漏洞和受威胁的远程员工或网络。在授予网络及其资源访问权限前,零信任框架通过持续的用户与设备授权和验证,能够缓解这些问题和其他网络威胁。

动态、灵活的零信任安全框架可帮助组织保护数据、应用和业务模型免受网络攻击。零信任在公有云或混合云环境中尤其重要,因为这些环境特别需要全面的安全策略。

免责声明3

产品和性能信息

12021 零信任安全现状:全球组织中的身份与访问管理成熟度”,Okta Inc., 2021 年 6 月,okta.com/sites/default/files/2021-07/WPR-2021-ZeroTrust-070821.pdf。英特尔不对第三方数据进行控制或审计。您应参考其他信息来源来评估准确性。
2英特尔通常使用代号标识在开发中、还未公开发布的不同产品、技术或服务。这些代号不是“商用”名称,并不会用作商标。
3

加速器的可用性因 SKU 而异。请访问英特尔产品规格页面,了解更多产品详情。