零信任安全模型中的网络和物联网安全-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 零信任安全模型中的网络和物联网安全

零信任安全模型中的网络和物联网安全

小墨安全管家 2021-11-01 19:24 CC防护 89 ℃
DDoS防御

创建后,DDoS防御,证书能够发送到设备,设备如今能够在今后的网络身份验证协议中使用它,DDoS防御,这些网络将创建证书的特定 CA 视为可信来源。这使得“零信任”一词有些误导。即使您不信任这些设备,您也需要信任一些东西。在这种事情下,信任基于证书和提供证书的机构。

PUF 在芯片创造过程中使用深亚微米变化来创建设备唯一标识符。这意味着 PUF 能够从芯片硅生成加密密钥(如我们需要的密钥对)。这些密钥关于每个芯片基本上唯一的,它们永久不必存储在内存中,它们在每次需要时都简单地(重新)生成。这消除了对外部供应密钥以及使用专用硬件来爱护存储的密钥的需要。

关于这些用于生成和存储密钥的传统想法,还有另一种替代想法,它基于物理不可克隆功能 (PUF)。

设备怎么获得证书?

这一切都始于设备拥有自个儿唯一的公私密钥。要生成证书,第一步是与证书颁发机构 (CA)共享这对公钥。CA 将经过向它发送质询来验证公钥是否属于该设备。惟独拥有相应私钥的设备才干成功应对此挑战。如今 CA 懂公钥属于设备,它会为它创建一具证书。

零信任安全模型中的网络和物联网安全

这一切都始于设备级别,经过挑选正确的方式为设备提供作为其唯一证书基础的密钥,零信任架构的基础得以建立。挑选的想法会因个别设备的硬件而异。

有使用相互身份验证的不同通信协议,例如SSH和TLS。然而这些协议的共同点是身份验证基于唯一的设备证书。假如没有如此的证书,设备就无法对自身举行身份验证。

私钥怎么安全地存储在设备上?

有几种想法能够做到这一点,首先是安全硬件的传统使用,如安全元件或可信平台模块。这些基本上需要添加到设备中的安全芯片,负责创建和安全存储密钥。关于昂贵的设备(如手机和笔记本电脑)来讲,这是一种可答应的解决方案,但通常不能解决所有安全咨询题,因为有限的各方能够访咨询它。可是,关于低成本物联网设备,在材料清单中添加安全芯片会增加太多成本。

然而还有另一具重要的方面需要思量:私钥。私钥是构建所有安全性的基础。这是将证书与设备联系起来的缘由,因为任何想要检查证书真实性的人都能够经过挑战私钥来做到这一点。同时由于此私钥很重要,所以应始终将其安全地存储在设备内。

不同的想法提供不同级别的安全性,但它们都有一具共同点,即他们需要灌输适当级别的信任,以便将私钥保密。当设备配备了公钥-私钥对时,CA 能够经过为设备生成证书来提供下一具咨询题。一旦设备拥有此唯一证书,就能够举行相互身份验证,允许以安全方式进入建立在零信任架构上的网络。

将加密密钥的存储方式所提供的保证与需要放在CA中的信任结合起来,能够讲,至少在这种事情下,没有信任就没有 "零信任"。

在网络和物联网安全方面,您永久不大概太小心。随着越来越多的不同设备连接到企业和工业基础设施,安全总比懊悔好。

一种更实惠的解决方案是将密钥对存储在设备不管怎么都需要的芯片之一的内存中,例如微操纵器。在这种事情下,密钥对能够在创造过程中从外部提供,也能够在内部生成(假如芯片具有内部随机数生成器)。此选项的要紧缺点是物联网设备的芯片不是为安全存储密钥而设计的。这意味着存在私钥被有权访咨询设备的坚决攻击者破坏的严峻风险。最重要的是,当从外部注入密钥时,注入这些密钥的一方是另一具需要信任以保密隐秘的实体。

这算是为啥 PUF 的部署迅速获得关注的缘由,非常是关于低成本的物联网设备。使用 PUF 来创建和爱护生成设备证书所需的密钥提供了零信任架构所需的信任类型。

攻击者永久无法读取、更改或复制此私钥,CC防御,因为这会危及设备所连接的整个网络的安全性。保持私钥私有应该是任何设备的最高优先级。同时网络需要信任,设备才干如此做。

关于网络治理员来讲,它不再不过爱护笔记本电脑和 PC,而是治理由各种连接硬件(包括挪移和低成本物联网设备)组成的网络。然而,当每个设备都按照自个儿的规则运行时,您如何大概保持网络安全呢?答案是(相对)简单:不要相信任何人!

结论

如今我们基本看到了安全连接网络中设备所需的所有不同的构建块。

这算是“零信任架构”概念的用武之地,这是一具基于默认事情下不信任设备的安全概念,仅仅因为它是您网络的一部分。相反,每个设备都需要为它想要建立的每个连接举行身份验证。思量到任何大概的连接至少涉及两方,此处所需的身份验证称为相互身份验证。

,CC防御


DDoS防御

当前位置:主页 > CC防护 > 零信任安全模型中的网络和物联网安全

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119