网络安全

信息

信息是以信息形态为表现形式,以物理介质为载体,以适合于计算机进行表达、传输、存储或处理的表达形式来表示的知识

信息技术

在计算机和通信技术的支持下,对信息进行获取、传递、存储、处理、使用、分配和控制的方法和技术的总称

信息安全

体系

安全服务是由安全机制来实现的

安全服务的分层部署

应用层与传输层提供的安全服务只能在通信两端的主机系统上实施 网络层提供的安全服务在端系统和路由器上都可以实现

但是层次越低,能获取到的数据语义越少

安全威胁

零信任网络

零信任安全模型

传统、边界安全模型 云原生、零信任安全模型 具体需求
基于防火墙等设施,认为边界内可信 服务到服务通信需认证,环境内的服务之间默认没有信任 保护网络边界(仍然有效);服务之间默认没有互信
用于特定的IP和硬件(机器) 资源利用率、重用、共享更好,包括IP和硬件 受信任的机器运行来源已知的代码
基于IP的身份 基于服务的身份 同上
服务运行在已知的、可预期的服务器上 服务可运行在环境中的任何地方,包括私有云/公有云混合部署 同上
安全相关的需求由应用来实现,每个应用单独实现 由基础设施来实现,基础设施中集成了共享的安全性要求。 集中策略实施点(Choke Points),一致地应用到所有服务
对服务如何构建、评审、实施的安全需求的约束力较弱 安全相关的需求一致地应用到所以服务 同上
安全组件的可观测性较弱 有安全策略及其是否生效的全局视图 同上
发布不标准,发布频率较低 标准化的构建和发布流程,每个微服务变更独立,变更更频繁 简单、自动、标准化的变更发布流程
工作负载通常作为虚拟机部署或部署到物理主机,并使用物理机或管理程序进行隔离 封装的工作负载及其进程在共享的操作系统中运行,并有管理平台提供的某种机制来进行隔离 在共享的操作系统的工作负载之间进行隔离