網(wǎng)絡(luò)安全對于保護(hù)組織免受有害且代價高昂的網(wǎng)絡(luò)攻擊至關(guān)重要?����?紤]到這一當(dāng)務(wù)之急,越來越多的組織正在尋求實(shí)施零信任架構(gòu)�,以確保網(wǎng)絡(luò)攻擊更難被破壞,然后在企業(yè)的基礎(chǔ)設(shè)施中傳播����。
在這篇深入的文章中,我們將全面概述零信任架構(gòu)��。我們的五步指南將總結(jié)所涉及的流程��,包括針對潛在實(shí)施障礙的最佳實(shí)踐和簡短的常見問題解答��。
什么是零信任以及其重要性�?
零信任是指一種網(wǎng)絡(luò)安全理念,它從“假設(shè)違規(guī)”的原則出發(fā)�����,采用“最小特權(quán)”的方式授予訪問權(quán)限���。從最純粹的意義上講,這需要在允許交互繼續(xù)進(jìn)行之前驗(yàn)證一組資源(人員���、工作負(fù)載��、網(wǎng)絡(luò)�、數(shù)據(jù)和設(shè)備)之間每次交互的上下文。
如今����,許多組織越來越多地混合并分散在云、本地和端點(diǎn)環(huán)境中����。這種網(wǎng)絡(luò)擴(kuò)展導(dǎo)致了更多可以被黑客攻擊的漏洞,更不用說內(nèi)部數(shù)據(jù)泄露的增加了�����。
為了應(yīng)對漏洞的增加����,需要更好的訪問控制,這就是采用零信任方法變得相關(guān)的地方�。
零信任最佳實(shí)踐
實(shí)施零信任架構(gòu)并不總是那么簡單。然而���,流程和技術(shù)的進(jìn)步正在幫助簡化工作����。借助當(dāng)今的新技術(shù),真正的零信任現(xiàn)在是組織實(shí)施的實(shí)用選擇��。在嘗試實(shí)施零信任之前要考慮的最佳實(shí)踐包括:
- 在網(wǎng)絡(luò)內(nèi)的所有接入點(diǎn)上應(yīng)用多因素身份驗(yàn)證�。
- 確保所有連接的設(shè)備都定期更新和維護(hù)良好。
- 進(jìn)行定期和徹底的監(jiān)控�,以確保嚴(yán)格的訪問控制流程。
- 限制對網(wǎng)絡(luò)中各個組件的訪問以改進(jìn)管理��。
毫不奇怪��,金融機(jī)構(gòu)和銀行�,以及谷歌和微軟等領(lǐng)先組織,使用零信任網(wǎng)絡(luò)架構(gòu)�����,并擺脫了傳統(tǒng)的基于邊界的安全性����。全球越來越多的組織紛紛效仿以保護(hù)他們的數(shù)據(jù)��。
實(shí)施零信任的五個步驟
了解了好處和挑戰(zhàn)之后���,是時候考慮設(shè)計(jì)和實(shí)施零信任策略來阻止網(wǎng)絡(luò)攻擊的傳播了���。這可以分為五個步驟�,以幫助簡化流程�。
1. 創(chuàng)建策略
在細(xì)分您的零信任策略之前,創(chuàng)建定義它的策略很重要��。每個問題都需要就如何使用網(wǎng)絡(luò)�、誰在使用它、他們?nèi)绾问褂盟?��、在哪里等方面提出問題��。這將幫助組織內(nèi)的個人了解新的流程和系統(tǒng)�,避免混淆�����。
2. 確定網(wǎng)絡(luò)的攻擊面
攻擊面是指混合網(wǎng)絡(luò)上可以被“威脅參與者”攻擊的漏洞數(shù)量�����。網(wǎng)絡(luò)犯罪分子或網(wǎng)絡(luò)團(tuán)伙可以發(fā)起一系列不同的攻擊��,這些攻擊可以在您的網(wǎng)絡(luò)上建立未經(jīng)授權(quán)的遠(yuǎn)程連接,從而允許他們訪問您的數(shù)字基礎(chǔ)設(shè)施中的關(guān)鍵資源和數(shù)據(jù)���。
映射網(wǎng)絡(luò)的攻擊面可讓您確定保護(hù)工作的優(yōu)先級���。根據(jù) Forrester 的零信任模型,需要保護(hù)五個資產(chǎn)支柱:
人員:用戶只能訪問他們在您的網(wǎng)絡(luò)中和跨網(wǎng)絡(luò)有權(quán)訪問的內(nèi)容���。
網(wǎng)絡(luò):隔離�、分段和保護(hù)網(wǎng)絡(luò)�����。
設(shè)備:保護(hù)連接到網(wǎng)絡(luò)的設(shè)備�。
工作負(fù)載:保護(hù)您用于運(yùn)營業(yè)務(wù)的應(yīng)用程序和工作負(fù)載。
數(shù)據(jù):隔離�����、加密和控制數(shù)據(jù)����。
2.定義訪問控制和權(quán)限
必須為每個用戶或用戶類型建立訪問和許可級別。零信任策略根據(jù)上下文驗(yàn)證訪問,包括用戶身份��、設(shè)備���、位置、內(nèi)容類型和被請求的應(yīng)用程序���。策略是自適應(yīng)的����,因此用戶訪問權(quán)限會隨著上下文的變化不斷地重新評估�。
3. 選擇正確的零信任解決方案
每個網(wǎng)絡(luò)都是不同的。一個解決方案可能對一個組織有效���,而對另一個組織實(shí)際上毫無用處���。
Forrester 建議將微分段作為主要的零信任安全控制。分段會將您的混合基礎(chǔ)架構(gòu)分成不同的區(qū)域�����,從而幫助您確定每個區(qū)域需要哪些安全協(xié)議�����。
4. 進(jìn)行持續(xù)監(jiān)控
實(shí)施零信任只是一個開始,如果要有效�,您必須不斷監(jiān)控網(wǎng)絡(luò)上的活動以識別弱點(diǎn)并優(yōu)化安全系統(tǒng)的整體性能。
定期報告可以幫助發(fā)現(xiàn)網(wǎng)絡(luò)上的異常行為��,并評估額外措施是否影響了企業(yè)內(nèi)的績效水平�����。您的報告將使用一系列分析�����,這些分析可以為網(wǎng)絡(luò)和用戶操作的幾乎任何方面提供有價值的見解����。
此外,還可以使用機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)分析查看記錄網(wǎng)絡(luò)活動的日志�����。結(jié)合起來����,這些數(shù)據(jù)可以幫助您適應(yīng)和改進(jìn)您的零信任網(wǎng)絡(luò)��,幫助您進(jìn)行必要的更改以防止新的和更復(fù)雜的網(wǎng)絡(luò)攻擊�����。
實(shí)施零信任的挑戰(zhàn)
組織通常需要克服三個關(guān)鍵挑戰(zhàn)才能成功實(shí)施零信任安全。
保護(hù)物理和基于云的基礎(chǔ)架構(gòu)
對于希望建立零信任架構(gòu)的組織來說�����,一個主要挑戰(zhàn)是現(xiàn)有網(wǎng)絡(luò)的復(fù)雜構(gòu)成���。大多數(shù)網(wǎng)絡(luò)由新舊硬件和軟件��、物理設(shè)備和基于云的基礎(chǔ)設(shè)施組成�����?���;A(chǔ)設(shè)施可以包括基于云的服務(wù)器����、物理服務(wù)器���、數(shù)據(jù)庫、代理�����、內(nèi)部應(yīng)用程序和軟件����、VPN、軟件即服務(wù) (SaaS) 等���。
使用傳統(tǒng)方法將每個接入點(diǎn)保護(hù)到零信任級別可能非常困難����,即使對于經(jīng)驗(yàn)豐富的工程師也是如此����。Illumio 等現(xiàn)代零信任技術(shù)可以幫助自動化和簡化流程。
對軟件升級和更改的需求
零信任網(wǎng)絡(luò)需要分段技術(shù)����,以便輕松構(gòu)建有效策略,然后隨著組織數(shù)字基礎(chǔ)設(shè)施的發(fā)展對其進(jìn)行更新��。
如果沒有統(tǒng)一的通信流量視圖和分段策略的集中管理,組織將難以在當(dāng)今的分布式和虛擬混合網(wǎng)絡(luò)中協(xié)調(diào)零信任分段�。
零信任架構(gòu)需要靈活的工具,例如微分段平臺���、身份感知代理和軟件定義邊界 (SDP) 軟件��。
計(jì)劃旅行
轉(zhuǎn)向零信任安全模型是一項(xiàng)需要時間和學(xué)習(xí)的承諾��。網(wǎng)絡(luò)規(guī)劃,包括決定組織各個方面的權(quán)限和訪問級別�,似乎令人生畏,尤其是在運(yùn)行云服務(wù)與本地數(shù)據(jù)中心的混合網(wǎng)絡(luò)中����。
將零信任理解為旅程而非目的地很重要。它不需要一個完整的計(jì)劃���;它可以分解為多個小步驟��,隨著時間的推移得到解決��。這允許組織開始保護(hù)他們最關(guān)鍵的業(yè)務(wù)漏洞�,而不是在實(shí)施任何安全實(shí)踐之前等待完整的計(jì)劃���。
零信任:常見問題 (FAQ)
以下是與零信任架構(gòu)相關(guān)的常見問題解答��。
如何選擇零信任提供商�����?
您選擇的任何零信任提供商都必須符合最高安全標(biāo)準(zhǔn)����,例如 ISO 27001 認(rèn)證和 SOC2 安全要求。
其他需要考慮的因素:
- 供應(yīng)商擅長哪些技術(shù)��?
- 該平臺能否擴(kuò)展以有效分割全球網(wǎng)絡(luò)���?
- 該平臺對中小型公司是否具有成本效益���?
- 該平臺能否同時細(xì)分云環(huán)境和本地環(huán)境?
- 供應(yīng)商是否提供端點(diǎn)管理�����?
- 該平臺能否提供通信路徑和分段區(qū)域的統(tǒng)一視圖����?
- 系統(tǒng)是否識別異常行為���?
- 該平臺能否支持較舊的應(yīng)用程序和設(shè)備?
- 提供的支持水平如何�?
零信任會取代 VPN 嗎?
不����。VPN 仍然提供了一種有效的工具來保護(hù)來自遠(yuǎn)程端點(diǎn)設(shè)備的某些類型的流量。零信任分段提供高度互補(bǔ)的安全性�����,以確保 VPN 之外的所有區(qū)域都得到很好的保護(hù)����,從而有助于提高網(wǎng)絡(luò)安全性����。
零信任如何與訪客訪問一起使用?
零信任需要來自網(wǎng)絡(luò)上所有用戶和設(shè)備的多因素身份驗(yàn)證�����??腿诵枰駟T工一樣進(jìn)行驗(yàn)證�����,不得有任何例外���。
實(shí)施零信任需要多長時間?
設(shè)計(jì)和實(shí)施零信任網(wǎng)絡(luò)的時間完全取決于其復(fù)雜性和網(wǎng)絡(luò)的規(guī)模��。流程的規(guī)劃和評估階段——以及擁有正確的工具和技術(shù)——對于減少項(xiàng)目的整體實(shí)施時間至關(guān)重要�。
零信任邁出下一步
零信任安全對于保護(hù)當(dāng)今的混合 IT 環(huán)境免受日益增長的網(wǎng)絡(luò)威脅至關(guān)重要。如果沒有零信任安全提供的保護(hù)����,組織將面臨勒索軟件和數(shù)據(jù)盜竊的巨大風(fēng)險——這些事件可能會對任何組織造成巨大損害。
實(shí)現(xiàn)零信任安全需要全面努力�,但零信任分段對于使零信任安全對幾乎任何組織都實(shí)用和可擴(kuò)展至關(guān)重要。
網(wǎng)站題目:如何實(shí)現(xiàn)零信任
當(dāng)前URL:
http://uogjgqi.cn/article/dhoioej.html
