即时归来:基于标准方法零信任存取

零信任遍及业界并促发一波新产品和专利技术Cisco正采取基础性更强的方法帮助定义全行业标准推广零信任原则,无论是通过简化技术并使之民主化,还是通过我们与互联网工程任务组、快速识别在线联盟等的合作。

Cisco's Duo安全系统是WebAuthn、密钥和其他无密码技术的先驱和强力倡导者,努力构建最佳做法并实现开源库加速应用这些新技术

最近,我们与IMAQUEIETF工作组联手,围绕HTTP/2和HTTP/3定义一套新标准,为安全访问新方法打下基础这套新技术仅仅是我们实现零信任的起始点 标准化互操作性 遍及所有装置和系统

VPN系统为何非零信任方法

虚拟专用网络是一个关键有效工具,零信任存取方法需要演化以提供无摩擦用户经验而不牺牲安全控制

多数零信任网络访问解决方案通常归VPN范畴,但我们Cisco公司不使用VPN技术(如封存、DTLS或IPsec)实现零信任保护企业隐私完整性并支持混合访问模型

企业隐私推介部分是确保零信任技术与其他互联网通信完全相同 而不为直接攻击者提供会议目的线索DTLS、IPsec或噪声协议与大多数VPN和ZTNA解决方案完全不同,这些解决方案很容易从其他互联网交通中识别

强控设备证书

太多ZTNA现用证书交换强健证书DuoMFA弱证书类JWT系统,素数或浏览器中的SSOcookie不幸的是,这些令牌和cookie安全有效性程度不一,完全取决于身份提供方实现和对浏览器本身的信任程度

反向趋势,我们将用强证书交换同样强证书,直接与装置本身相关联支持SSO解决方案作为一种二次认证方法向客户提供附加选项,即使第一个因子认证向来都是受设备约束证书,不依赖浏览器或身份提供商的安全性

Cisco集中力量使用DPP-ACME-SSO技术或证明持有ACME证书使用SSO注册DPoP-ACME-SSO确保只有用户执行强认证的设备(如DuoMFA)才能使用硬件键存储直接连接到该设备的身份证书,确保只有设备才能有证书与众不同密钥技术,这些技术有可能跨设备共享

生物度认证是客户想要更多身份基础方法的强二分因子webAuthn和密钥等现有标准(例如,Duo无密码)第二个因子当前,正努力原创整合生物识别技术而不需要嵌入式或外部浏览器组件,创建无摩擦访问用户体验,同时确保更强安全结果

强控设备证书每月自动更新而不使用干预,硬件约束密钥随每份增强解决方案安全的新身份证旋转更新大约每月持续到管理员决定撤销用户和装置组合访问管理员还可以使用二维因子标识提供系统撤销二维因子验证方法

MASQUE新标准零信任访问协议

马克奎iETF工作组正在规范HTTP/2和HTTP3安全访问新协议能力直接与MASQUE协作制定零信任访问解决方案使用标准与OS商贩联手直接将技术带入OSs,以便直接从设备实现零信任访问,而无需商家专用ZTNA或VPN软件实现

新建无摩擦安全技术允许所有供应商参与并运用开放标准构建零信任访问解决方案,这些解决方案可由客户审核并使用开源软件实施,而不是专利协议和解决方案,客户或政府机构无法轻易审查安全漏洞终端用户也从中得益,因为他们混合工作经验会无缝地与办公经验混合

改善安全性能

OS-Native零信任实现功能的一个关键长处是能够把微分解全程带入设备上运行应用与传统ZTNA和VPN解决方案相比,安全性能显著提高,网络分割直接带入应用本身

OS新点实现零信任访问提高性能,消除当前ZTNA和VPN技术需要内核对用户模式碰撞的需要这不仅允许零信任微通道完全封存应用本身,还消除封装应用流量所需的上下文切换

新信任模式

传统零信任解决方案只考虑信任的三个方面:用户、装置和目的地应用源码应用是一个同样重要因素 包含在任何零信任访问决策新设计允许应用设备认证 支持四柱信任模型 做出知情零信任访问决策

结论

Cisco面向未来零信任存取方法将大大改善并规范跨供应商生态系统的解决方案,最终简化工作流程和用户经验当前ZTNA解决方案中使用的所有专有控制和数据平面技术不久将由单套标准化技术取而代之,这些技术易于审核,开源中广泛提供,允许互操作性并增强安全

---

我们想听听你的想法查询问题注释下方并保持社会Cisco安全连接

Cisco安全社会通道

instagram系统
脸书
微博
LinkedIn