零信技术是一种安全实践
零信任是一种安全理念,目前各大安全厂家都提出了自己的零信任安全解决方案,各个厂家都是根据自己所在的领域和所掌握的知识提供相应的解决方案,其核心都是零信任的八个字“永不信任,始终验证”。零信技术提供的解决方案是基于PKI(公钥基础设施)技术的零信任安全实践,同目前市场上的“福尔摩斯式”零信任安全解决方案有本质的不同,因为这些方案仍然是基于传统安全防护思路来设计的。
在欧盟,有资格签发符合欧盟电子签名法的数字证书的CA机构称之为“信任服务提供商(TSP, Trust Service Provider)”。维基百科上是这样解释PKI的:PKI技术就是提供“信任服务”,简单来说就是信任实体的行为或输出,无论是人还是计算机。信任服务提供机密性、完整性和真实性的一项或多项能力。PKI是一种密码技术,它使实体能够在不安全的公共网络上安全地通信,并通过数字签名可靠地验证实体的身份。
通俗地讲:有了密码技术,才有了公钥基础设施;有了公钥基础设施,才有了数字证书来保障互联网的安全通信和个体的身份可信。也就是说,密码技术和PKI技术因信任而生,是“原生信任”技术,是解决信任问题的唯一可靠技术,这就是为何CA机构被称之为“信任服务提供商”。所以,要应用零信任理念来保护万物互联安全,当然必须使用数字证书来确保个体和物体的身份可信,只有可信身份才能通过验证而使用相应的网络资源。
但是,我们还应进一步思考为何需要解决信任问题,其本质还是要解决数据安全问题,所以,数字证书实际上不仅用于信任服务(数字签名和身份认证),更重要的应用是用于加密,https加密、邮件加密、文档加密、数据加密等等,密码技术不仅解决信任问题,更重要的是同时解决了数据本身的安全问题,这是零信任理念的升级与补充。
所以,基于密码技术的零信任安全解决方案的理念是“永不信任、始终验签、始终加密”,这也是密码应用的一种创新安全实践,由零信技术独家率先实现并向公众提供服务。具体提供如下五个互联网基础安全相关的零信任安全云服务:
- 网站安全云服务:
不信任明文传输的http网站,不信任没有安全防护的网站,不信任没有通过可信认证的网站。零信技术全球独家率先提供基于云SSL、云WAF和云认证的网站安全普惠服务,全自动实现https加密、WAF防护和可信身份的三位一体网站安全解决方案,帮助用户无痛无感实现网站零信任安全。 - 邮件安全云服务:
不信任明文传输的电子邮件。零信技术全球独家率先提供邮件加密云服务,用户无需更换邮件客户端软件,全自动配置全球信任的电子邮件证书,全自动实现邮件加密和数字签名、全自动交换公钥、全自动密钥管理和全自动电子邮件时间戳,帮助用户无痛无感实现电子邮件零信任安全。 - 文档安全云服务:
不信任无可信身份的电子文档。零信技术国内独家率先提供遵循国际云签名联盟(CSC)制定的云签名标准的全自动文档云签名服务,用户无需购买和管理文档签名证书,无需购买时间戳服务,只需购买文档安全云服务即可,帮助用户无痛无感实现电子文档零信任安全。 - 应用安全云服务:
不信任无可信身份的应用软件。零信技术国内独家率先提供遵循国际云签名联盟(CSC)制定的云签名标准的全自动代码签名云服务,用户无需购买和管理代码签名证书,无需配置时间戳服务,只需购买应用安全云服务即可,帮助用户无痛无感实现应用软件零信任安全。 - 身份可信云服务:
不信任未认证身份的个体。网站身份是互联网第一身份,零信网站可信认证服务是为了弥补目前的DV SSL证书没有验证网站主真实身份而设计的身份可信云服务,也是网站安全云服务的配套服务。同时,零信技术计划提供基于数字身份证书的统一身份认证云服务,为个体(人和物)自动配置可信数字身份证书,用于实时验证个体可信身份并依据安全策略访问数据资源,帮助用户无痛无感实现数据资源访问的零信任安全。
需要特别指出的是:零信数字签名云服务(包括代码签名和文档签名)遵循零信任理念,不上传用户的待签名软件和待签名文档到云端,只提交待签名文件的摘要到云端,在云端完成数字签名后下发已签名数据给用户端的零信签名工具,由签名工具在用户本地电脑完成数字签名,从而实现了用户对电子签名服务平台的零信任。
总之,实现零信任安全,首先应该找对技术路线,什么技术才是解决信任的关键技术;其次,应该搞清楚我们要解决信任问题的目的是什么。只有想清楚这两个问题了,才能正确选择合适的零信任安全解决方案。零信技术采用零信任理念和密码技术,是一种安全实践,一个全面采用密码技术的网络安全实践创新,零信技术将不遗余力为之求索之。
