統(tǒng)計(jì)數(shù)據(jù)也不是“會還是不會”:根據(jù)最近的一份報(bào)告����,在過去三年中���,近60%的組織經(jīng)歷了數(shù)據(jù)泄露���。
信息就是力量,惡意行為者和網(wǎng)絡(luò)犯罪分子會對您的數(shù)據(jù)感興趣��。而且�,如果我們要遵循提到的統(tǒng)計(jì)數(shù)據(jù)以及網(wǎng)絡(luò)安全的當(dāng)前狀態(tài),則組織需要承擔(dān)更多保護(hù)數(shù)據(jù)的責(zé)任�。局外人不僅有危險(xiǎn),而且局內(nèi)人威脅也可以自由支配����。組織不應(yīng)該信任任何人。
“信任但驗(yàn)證”�,外圍安全方法在現(xiàn)代安全環(huán)境中已不再存在。現(xiàn)在是更好��,更有效的概念和策略的時(shí)候了�����。
與“ 零信任����!
近年來,許多組織已轉(zhuǎn)向零信任安全方法�����,而舊的城堡和護(hù)城河概念被推到一邊�����,以 為零信任模型在“ 永不信任��,始終驗(yàn)證 ”的心態(tài)上騰出空間�����。其核心�。
什么是零信任安全?
零信任是由約翰·金德瓦格(John Kindervag)在Forrester Research工作時(shí)創(chuàng)建的��,一旦傳統(tǒng)的安全模型表明它們已經(jīng)不足以應(yīng)對不斷發(fā)展的網(wǎng)絡(luò)威脅形勢時(shí)��,零信任便誕生了。在傳統(tǒng)的城堡和護(hù)城河模型中��,定義了邊界�����,并且內(nèi)部的所有內(nèi)容都受信任��,而外部人員則很難進(jìn)入����。
但是�����,既然我們都知道沒有絕對的安全性���,那么如果攻擊者進(jìn)入網(wǎng)絡(luò)會發(fā)生什么����?如果默認(rèn)情況下信任內(nèi)部所有人����,則無法預(yù)測攻擊者能夠訪問網(wǎng)絡(luò)任何部分時(shí)可能造成的損失。
使傳統(tǒng)方法顯得更加過時(shí)的是,今天����,不再嚴(yán)格定義“邊界”。組織不會將數(shù)據(jù)存儲在具有包含網(wǎng)絡(luò)的一個數(shù)據(jù)中心中����,F(xiàn)在,他們將數(shù)據(jù)存儲在本地和云中����,并且可以通過許多不同的設(shè)備和位置訪問數(shù)據(jù)。
數(shù)據(jù)驅(qū)動的保護(hù)和以數(shù)據(jù)為中心的安全體系結(jié)構(gòu)是“零信任”安全模型的基礎(chǔ)�����,該模型告訴我們���,我們不能信任網(wǎng)絡(luò)外部或內(nèi)部的任何內(nèi)容��,并且任何嘗試訪問您的網(wǎng)絡(luò)的人都必須進(jìn)行驗(yàn)證���。提前。
零信任的重點(diǎn)是什么��?
零信任網(wǎng)絡(luò)有一些主要的信任組件:
數(shù)據(jù):如上所述,零信任始于數(shù)據(jù)����,是一種數(shù)據(jù)驅(qū)動的安全模型。為了保護(hù)其數(shù)據(jù)��,組織需要對其及其資產(chǎn)以及誰可以訪問它們具有可見性��,必須對其進(jìn)行分類以指定哪些數(shù)據(jù)被視為敏感數(shù)據(jù)�����,并分配盡可能少的特權(quán)���。監(jiān)視數(shù)據(jù)和數(shù)據(jù)訪問將使組織能夠更好地了解網(wǎng)絡(luò) 威脅并更有效地應(yīng)對它們,而不必完全依賴于風(fēng)險(xiǎn)管理�。
用戶:不幸的是,人類仍然是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)����。即使沒有惡意,任何人都可以隨時(shí)犯錯誤�����。這就是為什么嚴(yán)格監(jiān)控,限制和驗(yàn)證每個試圖訪問網(wǎng)絡(luò)內(nèi)部和外部組織資源的用戶很重要的原因���。部署將有助于保護(hù)和驗(yàn)證每個用戶的解決方案���,并努力通過強(qiáng)大的密碼策略,2FA和MFA等來消除人為錯誤的任何可能性����。
網(wǎng)絡(luò):微分段和訪問以及網(wǎng)絡(luò)限制將幫助阻止攻擊者訪問網(wǎng)絡(luò),如果他們在網(wǎng)絡(luò)內(nèi)部����,則可以阻止其橫向移動,并破壞其竊取數(shù)據(jù)的能力��。確保用戶即使在網(wǎng)絡(luò)內(nèi)部也不受信任��,并且采用實(shí)時(shí)威脅檢測��,防火墻和強(qiáng)大的訪問策略是“零信任”網(wǎng)絡(luò)的基礎(chǔ)�。
設(shè)備:在過去幾年中,用于訪問公司網(wǎng)絡(luò)的設(shè)備數(shù)量呈指數(shù)增長��。筆記本電腦���,智能手機(jī)���,平板電腦和智能電視����,再加上BYOD趨勢��,僅增加了攻擊面��,并為惡意攻擊者提供了比以往更多的攻擊媒介和入口點(diǎn)���。組織需要對嘗試訪問其網(wǎng)絡(luò)的設(shè)備具有可見性����,并在授予訪問權(quán)限之前建立信任�����。
工作負(fù)載:工作負(fù)載是攻擊者感興趣的目標(biāo)�,并且通過識別和控制對應(yīng)用程序和工作負(fù)載的訪問來保護(hù)它們����,可以提供更好的控制和保護(hù)��。
可見性和分析性:您無法保護(hù)看不到的東西��。網(wǎng)絡(luò)中的每個活動都必須可見���,監(jiān)視,記錄和分析��,以便識別異常行為并檢測和緩解威脅�����。
自動化和編排:由于“零信任”模型不是單一的技術(shù)或流程���,因此它采用了多種不同的技術(shù)���,方法以及工具。安全自動化工具可自動執(zhí)行安全任務(wù)�,并允許策略遵循,改進(jìn)的事件響應(yīng)��,實(shí)時(shí)檢測威脅等等����。編排可以確保將所有不同的解決方案都集成到現(xiàn)有組織的IT環(huán)境中���。
零信任背后有哪些技術(shù)?
在“ 零信任”安全模型中�,組織可以利用微細(xì)分,訪問控制環(huán)境��,并依賴于不同的技術(shù)和流程�。“微分段”是指一種安全技術(shù)��,允許安全團(tuán)隊(duì)在數(shù)據(jù)中心中創(chuàng)建精細(xì)的安全區(qū)域并為每個單獨(dú)的區(qū)域定義安全控制����。它可以防止網(wǎng)絡(luò)中的橫向探測和移動,并可以更好地控制整個網(wǎng)絡(luò)����。
除微細(xì)分外,還有最小特權(quán)訪問權(quán)限�。“最低特權(quán)”是基于只允許用戶訪問其在組織中扮演其角色所需的訪問量的原則����。這可以幫助組織降低低級用戶���,應(yīng)用程序或設(shè)備的風(fēng)險(xiǎn)���,從而降低攻擊者對內(nèi)部網(wǎng)絡(luò)造成嚴(yán)重破壞的風(fēng)險(xiǎn)��。
構(gòu)成零信任體系結(jié)構(gòu)核心的技術(shù)包括多因素身份驗(yàn)證���,訪問控制身份,訪問管理�����,以及如上所述的安全自動化和編排���。讓我們來探索它們:
2FA和MFA:多因素身份驗(yàn)證(MFA)是身份驗(yàn)證因素和要求形式的附加IT安全層�����,在用戶訪問其帳戶之前需要先滿足這些條件���,從而為破解者試圖獲得對這些帳戶的未經(jīng)授權(quán)的訪問創(chuàng)造了障礙。這可能要求用戶在輸入密碼后使用一次性SMS代碼���,指紋�����,視網(wǎng)膜掃描和/或用戶位置來驗(yàn)證其身份���。
從所有這些方面�,我們可以清楚地推斷出MFA為何對零信任如此如此-它來自對嘗試訪問網(wǎng)絡(luò)的用戶的不信任���,并為用戶提供了其他步驟來驗(yàn)證其身份��,獲得信任并最終進(jìn)行訪問����。
訪問控制(AC):訪問控制是對數(shù)據(jù)訪問的選擇性限制����。它由我們剛剛經(jīng)過的身份驗(yàn)證和授權(quán)組成,授權(quán)決定了是否應(yīng)授予用戶訪問數(shù)據(jù)的權(quán)限以及執(zhí)行他們嘗試的特定操作的能力���。用簡單的英語來說�,AC是關(guān)于誰或什么可以訪問組織的資源�����,并用于實(shí)施最低特權(quán)的訪問策略��。
身份和訪問管理(IAM):雖然AC和IAM經(jīng)�;Q使用,但它們是兩種獨(dú)立的做法�����,AC是IAM的子集��。IAM得到四個關(guān)鍵領(lǐng)域的支持:身份管理���,身份基礎(chǔ)結(jié)構(gòu)���,訪問管理和審核。
IAM從根本上講是定義和管理個人用戶的角色和訪問權(quán)限�,并以“每個人一個數(shù)字身份”的理念為指導(dǎo)。每個用戶都有一個已建立和維護(hù)的數(shù)字身份�����,但也可以對其進(jìn)行監(jiān)視和審核�����,因此可以通過給它更多的特權(quán)或限制某些特權(quán)來相應(yīng)地對其進(jìn)行修改。
安全自動化和編排:除了作為零信任安全的重點(diǎn)領(lǐng)域之一����,安全自動化和編排是其背后的另一項(xiàng)驅(qū)動技術(shù)。就在上周��,我們詳細(xì)討論了安全自動化�����,并討論了安全流程���。
安全自動化是不涉及人為干預(yù)的安全任務(wù)的自動執(zhí)行�,從而使安全團(tuán)隊(duì)有更多時(shí)間花在主動的戰(zhàn)略活動上��。自動化可簡化安全操作并減少檢測和響應(yīng)威脅所需的時(shí)間��。沒有自動化工具來減少人為錯誤的可能性���,并消除這種重復(fù)性工作的繁瑣工作���,監(jiān)視每個安全事件以確保零信任是不可能的�。我們建議您查看有關(guān)該概念的文章�����,以獲取一些最佳的安全自動化工具����。
安全編排可幫助組織連接眾多工具和解決方案��,從而使它們之間的數(shù)據(jù)共享更加輕松�,并確保它們都無縫集成到組織的基礎(chǔ)架構(gòu)中。
實(shí)施零信任模型的最佳實(shí)踐
盡管許多組織已經(jīng)在他們的IT環(huán)境中完全采用了零信任模型���,或者至少已經(jīng)開始采用它了��,嘿-開始永遠(yuǎn)不會太晚���!
已經(jīng)有提供MFA,IAM��,AC或其組合的解決方案�����,但實(shí)際上不僅僅涉及采用這些技術(shù)和工具。零信任并不是一朝一夕的事�����。這是一個持續(xù)的策略����,首先需要確定,然后再使用適當(dāng)?shù)募夹g(shù)�����。
除了我們研究過的技術(shù)外��,還有一些采用零信任架構(gòu)的戰(zhàn)略方法:
1.驗(yàn)證��,驗(yàn)證和重復(fù)
偏執(zhí)狂不一定總是一件好事�,但保持健康的謹(jǐn)慎態(tài)度總是很重要的。從一個每次嘗試訪問網(wǎng)絡(luò)都被認(rèn)為是惡意的地方開始�����,然后對它們進(jìn)行多種身份驗(yàn)證方法����;同樣��,每次嘗試訪問其他資產(chǎn)或資源時(shí)����,都要重新認(rèn)證用戶�。這可以通過一組訪問控制,外圍安全性�,網(wǎng)絡(luò)訪問控制,良好的舊MFA和其他方法來完成���。
2.數(shù)據(jù)可見性和分類
為了保護(hù)某些東西,您必須了解它���,并且數(shù)據(jù)也沒有什么不同��。了解數(shù)據(jù)所處的位置以及數(shù)據(jù)的敏感性將有助于更好地進(jìn)行訪問控制和授權(quán)��。另外��,僅允許特定用戶訪問它����,具有管理角色和類似角色的用戶�����,保持最小特權(quán)方法。
監(jiān)視和記錄與數(shù)據(jù)有關(guān)的所有活動以及網(wǎng)絡(luò)中的任何用戶活動���。通過使用安全自動化工具��,分析師將可以稍后使用此數(shù)據(jù)進(jìn)行關(guān)聯(lián)�����,檢查�����,實(shí)時(shí)識別任何可疑行為����,并在將內(nèi)部和外部來源的威脅升級為數(shù)據(jù)之前對其進(jìn)行捕獲違反�����。
4.想到用戶
驗(yàn)證用戶所需的身份驗(yàn)證方法和安全訪問控制的數(shù)量不斷增加��,既耗時(shí)又無聊���。而且�,即使對于某些用戶而言,采取任何似乎極其不利的策略也根本不會做�����。
在實(shí)施零信任網(wǎng)絡(luò)時(shí)�,請考慮最終用戶,并選擇一種解決方案和策略�����,以使體驗(yàn)盡可能“無痛”�����,以確保合規(guī)性和有效性��。
結(jié)論
繼續(xù)安全基礎(chǔ)知識����,本周我們向零信任介紹或重新介紹了您��。將其添加到安全必備列表中��,組織需要開始實(shí)施此策略,以保護(hù)對他們最有價(jià)值的數(shù)據(jù):其數(shù)據(jù)�。數(shù)據(jù)本身并不是對組織而言最有價(jià)值的資產(chǎn),網(wǎng)絡(luò)罪犯也共享這種“激情”����。
通過概述保護(hù)組織數(shù)據(jù)所需的適當(dāng)步驟,我們介紹了零信任的一些關(guān)鍵原則和最佳實(shí)踐��,以指導(dǎo)您朝著正確的方向發(fā)展���。與大多數(shù)安全領(lǐng)域一樣��,它的概念如此廣泛���,因此我們只涉及了零信任模型的表面。我們一定會在將來重新討論這個主題����,以更深入地研究一個沒人值得我們信任的世界。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
