目錄
思科零信任介紹
思科零信任所涉及産品
思科零信任架構拓撲介紹
思科零信任架構VS零信任安全架構
思科零信任架構的應用場景
思科零信任解決方案的優勢
思科零信任的未來發展展望
思科零信任介紹
Cisco Zero Trust是思科公司推廣的一種安全模型,旨在通過對所有通路網絡資源的識别、認證和授權來保護企業網絡。它提供了一種簡單的方法,用于識别、認證和授權通路網絡資源的使用者和裝置,同時使用額外的安全措施來保護資料。
思科零信任模型基于“零信任假設”,即不論使用者和裝置的位置和信任狀态如何,網絡都不應該對其進行預設信任。在思科零信任模型中,所有請求必須經過多層的識别、認證和授權檢查,以確定安全。
思科零信任所涉及産品
Cisco Identity Services Engine (ISE) - 為有線、無線和VPN網絡提供基于身份的通路控制和政策實施。
Cisco Advanced Malware Protection (AMP) - 實時檢測并停止進階持續威脅和零日攻GJ擊。
Cisco Duo Security - 為基于雲和内部部署的應用程式提供多因素身份驗證和安全分析。
Cisco Umbrella - 為網際網路網關提供雲安全,包括DNS層保護,以防惡意軟體和網絡釣魚。
Cisco Threat Response - 使安全團隊能夠快速識别、控制和消除網絡中的威脅。
思科零信任架構拓撲介紹
安全不是萬能的:零信任也不僅僅是網絡分割。為了幫助了解該體系結構,Cisco将其分為三個支柱:
- 使用者和裝置安全:確定使用者和裝置在通路系統時可以得到信任,無論他們位于何處
- 網絡和雲安全:保護本地和雲中的所有網絡資源,確定所有連接配接使用者的安全通路
- 應用程式和資料安全:防止應用程式環境内的未經授權通路,無論其托管在何處。
圖文來自網絡,侵權即删(The full text picture is from the network, and the infringement is deleted)。
思科零信任架構VS零信任安全架構
下表顯示了零信任架構與Cisco零信任架構的對應關系
| Cisco | NIST Cyber Security Framework | CISA | Common |
| User and Device Security | Users | Identity | Visibility & Analytics Automation & Orchestration Governance |
| Devices | Device | ||
| Network and Cloud Security | Networks/Hybrid Multi-Cloud | Network/ Environment | |
| Application and Data Security | Applications | Application Workload | |
| Data | Data |
思科零信任架構的應用場景
面向員工的零信任解決方案
思科零信任解決方案可以利用自定義安全政策保護每個應用,對每次通路嘗試進行身份驗證和持續監控,進而在使用者和裝置中建立信任。有了它,您可以:
防禦憑證盜用:通過多因素身份驗證驗證使用者身份。
洞悉通路活動:洞悉所有位置、裝置和使用者的通路活動。控制雲應用通路和阻止惡意連接配接。
對每個應用實施通路政策:根據組織的風險承受能力和要求設定政策。
防禦郵件入侵:檢測欺詐郵件發送者,實時阻止網絡釣魚攻GJ擊和惡意軟體。
對使用者裝置強制實施可信度驗證:識别存在風險的裝置,強制執行情景化通路政策,使用無代理方法或通過內建裝置管理工具來報告裝置運作狀況。
阻止從已遭到入侵的裝置進行通路:保護終端、網絡和郵件,洞察網絡和終端威脅,同時阻止并移除惡意軟體。
面向工作負載的零信任解決方案
思科零信任解決方案可以保護所有 API、微服務和容器通路您的應用的連接配接,無論您的應用是在雲端、資料中心還是其他虛拟化環境中。思科零信任解決方案可以部署在本地或雲端,全方位保護您的應用,而微分段可以幫助您遏制威脅并防禦威脅橫向移動。
應用可視性:控制使用者和裝置對您多雲環境下的應用和網絡的每次連接配接。
應用分段:最大程度減少本地環境和多雲環境中的威脅橫向移動。
監控應用性能:利用深度診斷功能識别威脅的根源。
強制實施政策和控制:強制實施應用特定使用者和裝置通路政策,滿足組織的安全通路要求。利用行為分析标記異常,減小受攻擊面。
洞悉應用架構:利用流程圖顯示任何環境中的各個元件及其依賴關系。
快速實施威脅補救措施:隔離存在異常處理行為的所有伺服器,遏制威脅。
面向工作場所的思科零信任解決方案
利用思科零信任解決方案,使用者可以随時随地使用任何裝置安全地連接配接至您的網絡,同時限制從不合規的裝置通路您的網絡。我們的自動化網絡分段功能允許針對使用者、裝置和應用流量設定微邊界,而無需重新設計網絡。
安全網絡通路:識别、分類和彙編關于使用者和終端(包括物聯網)的必要情景,獲得全面可視性。
網絡分段:将精細的分段直接融入網絡,消除複雜的基礎設施配置。
加密流量分析:利用網絡分析識别加密流量中的惡意軟體。
動态可視性:将基于可視性的網絡分段和政策控制融入您的安全架構中。
自動化威脅遏制:實施自适應威脅遏制,確定随着威脅形勢的變化不斷更新組織的安全狀況。
政策實施:確定對未加密流量在靠近流量源處實施安全政策,并且根據加密流量分析在網絡中實施安全政策。
适用于任何企業的零信任安全解決方案
為了支援成功實施零信任政策,思科零信任安全架構提供了全面的思科安全解決方案組合以及零信任政策服務。此外,它還與其他産品實作了生态系統內建,可以為任何企業環境提供完備的零信任安全解決方案。
思科零信任解決方案的優勢
最成功的零信任解決方案應與基礎設施無縫內建,而無需更換現有裝置。思科零信任解決方案是一種完善的政策,無論使用者在何處使用何種裝置通路您的應用和環境,它都能提供可靠保護。
建立信任
我們通過驗證以下資訊來建立信任:
- 使用者和裝置辨別
- 裝置安全狀況和漏洞
- 所有工作負載
- 應用和服務信任狀态
- 各種感染名額
強制實施基于信任的通路
我們對以下目标實施最低權限通路:
- 應用
- 網絡資源
- 工作負載通信
- 所有工作負載使用者和管理者
持續執行信任驗證
我們持續驗證:
- 是否仍然符合建立信任的原始信條
- 流量是否存在威脅
- 是否存在任何風險、異常和惡意行為
- 信任級别是否有變化,是否遭到破壞
一緻地實施基于政策的控制
全面洞察您的整個環境中的所有使用者、裝置、元件等
獲得有助于更好地檢測和應對威脅的詳細日志、報告和警報
利用思科零信任安全架構提供更加安全的通路,防止可視性方面的缺漏,并縮小受攻擊面。
根據信任級别的任何變化自動遏制威脅
思科零信任的未來發展展望
對于思科零信任的未來發展展望,預計将繼續在安全行業發揮重要作用。随着網絡安全威脅的不斷增加,企業群組織對保護其資訊和網絡的要求也在不斷增加。思科可能會持續投資并開發其零信任技術,以适應市場的變化和需求。
此外,随着雲計算和移動辦公的普及,思科零信任技術也可能在這些領域得到廣泛應用。總之,未來幾年,零信任技術将繼續在網絡安全領域發揮重要作用,并有望成為保護企業群組織網絡安全的關鍵技術之一。