精选综述 | 零信任架构的自动化和编排: 潜在解决方案与挑战

 

Machine Intelligence Research

零信任架构(ZTA)是人们保护数据、连接网络和访问资源的一种模式转变。ZTA没有采用传统的周界防御方式，其出现是网络安全领域一次具有前景的革命。ZTA可以通过抵御来自网络系统内部和外部的攻击来持续维护安全。然而，在现有文献中，ZTA的自动化和编排，以及在现实网络中的无缝部署方面的研究还很有限。来自澳大利亚迪肯大学的研究者们首先确定了网络安全领域发展的阻碍，讨论了ZTA的背景，并将其与传统的基于边界的安全架构进行了比较。更重要的是，深入分析了在ZTA自动化和编排方面具有潜力的最新人工智能技术，就ZTA自动化与编排所面临的挑战和可能的推动因素提出了基本观点。相关成果已发表于《机器智能研究(英文)》2024年第2期中。

图片来自Springer

迄今为止，大多数网络安全架构都采用了边界防御，将内部网络与外部网络隔离。防火墙、虚拟专用网络(VPN)和非军事区(DMZ)网络通过建立网络安全边界来防止外部攻击。这种边界防御的方式可以有效防止外部攻击，却很难防止内部攻击，因为入侵者一旦突破安全边界，下一步非法行为就不会受到阻碍。此外，随着 5G、物联网和云计算等数字技术的快速发展，网络用户和设备的数量及其安全问题呈指数级增长，网络的边界也越来越模糊。这增加了人们保护组织资源的难度，尤其是在数据访问点、信息输入和输出变得越来越多的情况下。因此，要想预防内部网络攻击，就需要一个不信任任何网络的安全架构。

零信任架构(ZTA)是一种基于最小权限原则的新型网络安全架构概念，旨在通过限制网络内部主体的行为来解决上述问题。基于"永不信任，始终验证"的核心理念，ZTA遵循基于资源的安全策略：未经身份认证和授权，任何用户、设备或应用程序(服务)都不能访问数据。然而，尽管ZTA提供了更为强大的网络安全保护措施，但在实施过程中仍面临着巨大挑战。采用ZTA时需要多种安全工具(如防火墙)和策略来协同工作，传统的独立安全检测方法可能并不适用。此外，这些安全工具所收集和产生的大量数据可用于框架内的风险分析、预测和评估。因此，为了最大限度地提高ZTA的安全保护性能，需要对现有框架的各个组成部分进行自动化和编排。在这种情况下，人工智能(AI)算法被认为是实现 ZTA 自动化和编排最合适的技术之一。

人工智能技术被认为是安全编排、自动化和响应(SOAR)解决方案的推动因素，旨在自动化并整合不同的安全任务和流程，以应对突发事件。SOAR也是在执行ZTA时需要考虑的功能之一，为人工智能在各组件间执行自动化和编排提供了参考。

安全团队将ZTA视为推动维护其组织网络安全的因素。特别是ZTA需要开发持续编排和学习的能力，以确保基于超细粒度访问权限的网络环境安全。ZTA的自动化和编排可以减轻安全人员在整个组织网络中手动分配和重新分配访问凭证的工作。此外，通过ZTA进行权限更改能在几分钟内完成，从而消除员工和设备在安全程序方面的阻碍和烦恼。本文将重点探讨人工智能算法在ZTA组件自动化和编排方面的潜力。

本文框架

MIR为所有读者提供免费寄送纸刊服务，如您对本篇文章感兴趣，请点击下方链接填写收件地址，编辑部将尽快为您免费寄送纸版全文！

说明：如遇特殊原因无法寄达的，将推迟邮寄时间，咨询电话010-82544737

收件信息登记：

https://www.wjx.cn‍/vm/eIyIAAI.aspx#  

关于Machine Intelligence Research

Machine Intelligence Research（简称MIR，原刊名International Journal of Automation and Computing）由中国科学院自动化研究所主办，于2022年正式出版。MIR立足国内、面向全球，着眼于服务国家战略需求，刊发机器智能领域最新原创研究性论文、综述、评论等，全面报道国际机器智能领域的基础理论和前沿创新研究成果，促进国际学术交流与学科发展，服务国家人工智能科技进步。期刊入选"中国科技期刊卓越行动计划"，已被ESCI、EI、Scopus、中国科技核心期刊、CSCD等20余家国际数据库收录，入选图像图形领域期刊分级目录-T2级知名期刊。2022年首个CiteScore分值达8.4，在计算机科学、工程、数学三大领域的八个子方向排名均跻身Q1区，最佳排名挺进Top 4%。