安全网的网格是一种分布式架构方法,能够实现可扩展、灵活和可靠的网络安全控制,现在许多资产存在于传统安全边界之外,网络安全网格本质上允许围绕人或事物的身份定义安全边界,通过集中策略编排和分布策略执行来实现更加模块化、更加快速响应的安全防护。
一、技术特点
1、异构资源管理:网格可以包含跨地理分布的多种异构资源、不同体系结构的超大型级计算机和不同结构的操作系统及应用软件,要求网格系统能动态地适应多种计算机资源和复杂的系统结构,异构资源的认证和授权,给安全管理带来一定的挑战。
2、可扩展性:网格的用户、资源和结构为动态变化,要求网格系统安全结构具有可扩展性,以适应网格规模的变化。
3、结构不可预测性:在传统的高性能计算系统中计算资源独占,系统的行为可预测,而在网格计算系统中资源的共享造成系统行为和系统性能经常变化,网格结构具有不可预测性。
4、多级管理域:由于计算网格的分布性特点,与用户和资源有关的各种属性可以跨越物理层属于多个组织机构,由于构成网格计算系统的超级计算机资源属于不同的机构或组织,并且使用不同的安全机制,需要各个机构或组织共同参与解决多级管理域的问题。
二、关键技术
1、安全认证技术:包括网格安全技术应用最广泛的公钥基础设施PKI(Public Key Infracture)等,PKI建立在公钥密码学基础上,主要包括加密、数字签名和数字证书等技术,数字证书的安全性主要依赖于CA(Certificate Authority)私钥的安全性,对数字证书的管理,可通过数据库服务器提供在线信任证书仓库,为用户存储并短期提供信任证书,用户从不同入口接入网格,使用网格的服务,利用PKI技术,网格系统只对用户一次认证,就可访问多个节点资源,通过代理证书和证书委托,可为用户创建一个用户代理,并又可在中心节点创建新代理,形成一个安全信任链,实现节点间信任传递与单点登录。
2、网格中的授权:将属于不同独立组织的资源和人员进行组织,创建一个虚拟组织(Virtual Organization,VO),可通过用户在本地组织中角色加入VO解决社区授权服务(Community Authorization Service,CAS)负担过重的问题,网格安全基础设施(Grid Security Infrastructure,GSI)是基于公钥加密、X.509证书和安全套接层SSL通信协议的一种安全机制,用于解决VO中的认证和消息保护问题,通过服务可实现VO中的资源共享,通过一个映射文件可实现控制用户对资源服务的访问权限,映射文件由一系列用户区别名(Distinguished Name,DN)到本地账号的映射项组成,用户认证后,资源提供者从用户的代理证书中提取DN,然后根据用户请求的服务从相应的映射文件中查看该DN的映射项,存在则说明用户有权限访问其请求的服务,资源提供者将以用户DN对应的本地账号运行被请求的服务,GSI是通过映射机制将对用户的访问控制转变为资源提供者对本地账号的访问控制,如文件访问控制、CPU限制等。
3、网格访问控制:可通过区域授权服务或虚拟组织成员服务提供,社区授权服务(Community Authorization Service,CAS)允许虚拟组织维护自己的策略和本地的安全策略交互,每一个资源提供者都要通知CAS服务器关于VO成员对于它的资源所拥有的权限集,要访问一个资源,用户需向CAS服务器申请基于其自身权限的证书,用户向要访问的资源出示其申请的证书,由资源对证书进行验证后才准许用户访问,由于网格跨越多个管理域都拥有各自安全策略,VO需要制定一个标准的策略语言,能够支持多种安全策略,使VO和本地的安全策略交互,此策略可采用传统的资源访问控制列表(ACL)实现,但可增加条件限制功能,扩展传统的ACL概念,生成扩展访问控制列表(Extended Access Control List),区域授权服务在一定程度上解决了虚拟组织的访问控制问题,但还不能适应网格动态性的需求,没有解决虚拟组织的协同策略管理问题、因管理的瓶颈而存在可扩展性问题等,除了区域授权服务外,还可利用沙盒技术对网格节点的资源进行定量控制,这些资源包括CPU的利用率、内存的占有量以及带宽的使用量等,可将各种应用放在统一沙盒中,从而消除网格节点的异构性,使本地系统更方便地控制网格应用对资源的使用情况,可以用于实现动态账户和进行细粒度的资源控制。
4、网格安全标准:Web服务安全规范可集成现有的安全模型,开发Web服务时可在更高层次上构建安全框架,网格安全标准是实现网格环境中安全性的关键因素之一,它确保了网格环境中的不同组件和系统能够以一致且安全的方式相互通信和协作,通过遵循统一的安全标准,可以减少安全漏洞的风险,提高整个网格环境的安全性。
三、实施原则
企业组织在实施网络安全网格架构之前,必须首先要了解其基本原理,这对于评估其对提升企业数字风险管理能力的价值和影响至关重要,为了确保网络安全网格框架提供一种更具弹性和适应性的安全态势,企业在开展相关建设时,首先应该坚持受控分散的原则,它要求组织保持对其安全策略的控制,同时又需要将各种安全能力分布式实施和执行到多个安全节点上,这个原则有利于企业在不影响安全完整性的情况下提升敏捷性;还应该坚持统一可见性的概念,不同的安全工具都有自己的数据格式和警报规范,需要将这些信息统一为一个连贯的“事实”,网络安全网格框架非常强调并依赖于这种整合,这样才能确保和风险相关的决策基于完整的上下文信息。
四、与传统网络安全方法的区别
许多企业组织已经采用了多种安全解决方案,希望建立全面的防御,其结果往往并不理想,可能会存在缺乏可见性和复杂的风险管理等问题,CISO采用传统的网络安全方法带来了巨大的挑战,因为新出现的威胁往往会利用不同安全工具之间的保护盲区,网络安全网格架构能够非常有效地解决这个问题,它可以将不同的安全工具和解决方案统一编排到一个完整的安全能力框架中,实现更好的互操作性和可见性,这不仅提高了企业安全团队的运营效率,而且还实现了更加一致地、以数据驱动的数字风险管理,对于CISO来说,这代表着一个根本性的转变,为其实施更积极主动和适应性更强的网络安全策略创造了条件。
五、相关问题与解答
1、什么是网络安全网格?
答:网络安全网格是一种分布式架构方法,能够实现可扩展、灵活和可靠的网络安全控制,现在许多资产存在于传统安全边界之外,网络安全网格本质上允许围绕人或事物的身份定义安全边界,通过集中策略编排和分布策略执行来实现更加模块化、更加快速响应的安全防护。
2、网络安全网格的主要价值是什么?
答:网络安全网格框架代表了在日益复杂和分散的网络环境中应对网络安全新挑战的创新方法,与围绕组织“边界”构建的传统安全模型不同,网络安全网格框架将安全控制置于更接近需要保护的数据、设备和用户的位置,这将带来更大的灵活性和定制性,能够更有效地适应现代企业组织特定的安全和风险管理需求,对于企业的CISO来说,采用网络安全网格框架也意味着能够大幅提升现有的数字化风险管理能力,网络安全网格架构包括设计和建设 IT 安全基础设施,采用“水平”分布式方式将各种安全能力集成到网络中,而不是采用传统的“自上而下”、各种安全设备“一应俱全”的集成方式,致力于构建一个能在庞大的安全生态系统中协同运行,且自动适应网络环境演化的全面覆盖、统一管控、动态协同和快速响应的安全平台。
安全网的网格是一种创新的网络安全架构方法,它通过分布式架构实现了可扩展、灵活和可靠的网络安全控制,这种方法能够更好地适应现代企业组织特定的安全和风险管理需求,提高数字化风险管理能力。
以上就是关于“安全网的网格”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/13754.html<
