零信任是一種戰略性網絡安全模型,旨在保護現代數字業務環境,該環境越來越多地包括公共和私有雲,SaaS應用程式,DevOps,機器人流程自動化(RPA)等。
零信任的理念為:無論是處于網絡界限之内或是之外,組織都不應該自動信任任何事物。
零信任模型要求,在擷取通路權限之前,必須首先驗證試圖連接配接到組織系統的任何人和所有事物。
零信任的主要目标是減輕大多數組織運作的現代化環境中網絡攻擊的風險。行業分析師 John Kindervag 在 2010 年創造了“零信任”和“零信任架構”這兩個詞。
這種“永不信任,始終驗證”的概念迅速開始流行,而像 Google 這樣的大型企業很快地就開始建構自己對“零信任”模型的解釋。
在美國人事管理辦公室 (OPM) 發生大規模資料洩漏後,衆議院建議政府機構采用零信任架構來防禦網絡攻擊。
零信任模型顯著優于傳統的“城堡和護城河”式網絡安全方法,該方法側重于保衛邊界,将攻擊者拒之門外,同時假定邊界内的所有人和所有事物均已獲得通路權限,是以不會對組織構成威脅。
這種方法在很大程度上依賴于防火牆和類似的安全措施,但對于獲得(或被授予)特權帳戶通路權限的組織内部的不良行為者的威脅卻無能為力。 數字化轉型使得當今的技術生态系統變得更加複雜,是以有必要對傳統的安全政策進行調整。
随着攻擊面的增加,針對邊界的方法效果越來越差。
此外,遠端提供商通常需要特權來通路關鍵内部系統,而跟蹤需要通路的使用者以及通路的内容也變得越來越困難。相反,如果在所有場景強制執行零信任,就可以確定隻有正确的使用者和非人類身份才能通路資料,并且僅在需要時才通路所需的資料。
在“零信任”架構中,“軟體定義的邊界”可為人類和非人類身份提供安全特權通路,無論它們身在何處、正在使用哪些斷點裝置或機器、或在何處托管資料和工作負載(在本地、雲端或混合環境中)。
如何在您的組織中實作零信任
要實施零信任技術,沒有單一的解決方案。
有效的零信任政策組合利用了多種現有技術和方法,例如多重身份驗證 (MFA)、身份和通路管理 (IAM)、特權通路管理 (PAM) 和網絡分段,以進行全面的深度防禦。
零信任還強調諸如最小權限原則之類的治理政策。
為了建立符合零信任的現代架構,組織通常會随着時間的推移采用分階段的程式化方法,其中涉及以下一些或全部步驟:
保護高權限特權帳戶。
衆所周知,大多數内部威脅和外部攻擊都涉及特權通路的濫用。
組織應在整個環境中識别最重要的特權帳戶、憑據和機密,并找出可能危害其最敏感資料和關鍵基礎架構的潛在弱點和漏洞。
在此基礎上,他們可以實施通路控制,以保護與零信任相關的風險最高的特權帳戶。
它們可以逐漸将保護範圍擴充到整個企業、雲、端點和整個 DevOps 管道中的其他使用者和應用程式。
對關鍵業務資産實施多步身份驗證。
在零信任模型中,必須首先保護 Tier 0 資産。
連續多重身份驗證 (MFA) 對于縮小使用者和裝置的信任範圍至關重要。
此外,在準确的通路點啟用特權使用者身份驗證的逐漸或即時身份驗證和管理準許過程有助于降低基于特權憑據的攻擊的風險。
增強端點安全性。
如果惡意攻擊者或内部人員獲得特權憑據的通路權,則他或她看将被視為受信任的使用者,
并使得高風險活動的檢測變得難以執行。
通過結合端點檢測和響應、防毒軟體/NGAV、應用程式更新檔和作業系統更新檔,組織可以管理和保護端點裝置上的特權來降低遭受攻擊的風險。
此外,組織應實施限制模型,僅在特定情況下信任由特定帳戶運作的指定應用程式。
這将有助于降低勒索軟體和代碼注入攻擊的風險。
監視特權路徑。
對特權通路路徑的連續監控可防止惡意内部人員和外部攻擊者的攻擊。
組織應該對最終使用者可以通路的内容進行嚴格控制;在端點、應用程式、使用者和系統之間建立隔離層,并持續監視通路以減少攻擊面。
實施最小權限原則。組織必須知道誰(人類和非人類使用者中)可以通路哪些資産,以及他們何時可以執行哪些操作。
是以,組織應廣泛實施最低特權原則,以及将企業級别政策與特定使用者條件相結合的基于屬性的通路控制,以在安全性與可用性之間達到平衡。
綜上所述,我們有必要了解各大廠商如何對待零信任,特奉上零信任網絡資料合集,以供讀者查閱學習研究,文末提供下載下傳方式:
可關注 網絡研究院 公衆号内回複“20210803”擷取下載下傳連結。
更有不限速下載下傳等着你。
每日堅持分享,如果你覺得有所收獲,請各位讀者點亮“點贊” “再看”,
感激不盡