“零信任”的概念可以追溯到2010年。因?yàn)槭苄湃蔚膬?nèi)部網(wǎng)絡(luò)和不受信任的外部網(wǎng)絡(luò)已經(jīng)逐漸不再真實(shí)���,而導(dǎo)致傳統(tǒng)邊界安全模型無法提供足夠的防護(hù)�。這個(gè)解決方案的目的就是改變信任模型�����,使得沒有用戶可以自動(dòng)被信任�����。
為黔江等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)��,及黔江網(wǎng)站建設(shè)行業(yè)解決方案��。主營業(yè)務(wù)為成都網(wǎng)站制作�����、成都網(wǎng)站設(shè)計(jì)��、外貿(mào)營銷網(wǎng)站建設(shè)���、黔江網(wǎng)站設(shè)計(jì)�,以傳統(tǒng)方式定制建設(shè)網(wǎng)站�����,并提供域名空間備案等一條龍服務(wù)��,秉承以專業(yè)�����、用心的態(tài)度為用戶提供真誠的服務(wù)����。我們深信只要達(dá)到每一位用戶的要求����,就會(huì)得到認(rèn)可,從而選擇與我們長期合作�。這樣,我們也可以走得更遠(yuǎn)���!
如今����,零信任訪問(Zero Trust Access, ZTA)已經(jīng)成為行業(yè)的流行用語,許多廠商都表示他們提供ZTA解決方案�。在最新的總統(tǒng)行政令中,拜登都要求強(qiáng)制推行零信任方案���。雖然說這個(gè)名詞處處可見����,但是具體落地依然在拖延�。落地緩慢的一個(gè)巨大原因在于人們依然對(duì)ZTA有太多的不解與困惑,比如它到底意味著什么�����,以及從哪開始著手�����。
這里有五個(gè)企業(yè)可以如何有效落地ZTA的信息�。
1. ZTA拋棄了間接信任
ZTA的關(guān)鍵在于知道和控制哪些人、哪些東西在自己的網(wǎng)絡(luò)上��。CISO們可以以此減少因員工帶來的風(fēng)險(xiǎn),并且移除基于間接信任運(yùn)作的系統(tǒng)來更有效地管理組織的網(wǎng)絡(luò)�����。
通過對(duì)用戶的接入進(jìn)行限制�����,同時(shí)啟用進(jìn)一步的身份認(rèn)證�����,ZTA可以減少隱患�����,從而只有合法用戶才能接入與他們身份相關(guān)的系統(tǒng)——至少是“需要知曉”等級(jí)的接入權(quán)限�。
2. ZTA和ZTNA不同
ZTA考慮的不僅僅是誰在網(wǎng)絡(luò)上����,還有“什么”在網(wǎng)絡(luò)上。大量增加的網(wǎng)絡(luò)連接設(shè)備可能包括從打印機(jī)到加熱通風(fēng)設(shè)備��、門禁系統(tǒng)等物聯(lián)網(wǎng)設(shè)備��。這些無用戶界面的設(shè)備沒有用戶名和口令來識(shí)別它們自己以及它們的角色。對(duì)于這些設(shè)備����,網(wǎng)絡(luò)準(zhǔn)入控制解決方案可以發(fā)現(xiàn)和控制接入。通過使用網(wǎng)絡(luò)準(zhǔn)入控制策略���,零信任最小接入原則可以應(yīng)用到物聯(lián)網(wǎng)設(shè)備�����,確保這些設(shè)備有足夠的網(wǎng)絡(luò)接入權(quán)限進(jìn)行他們的工作����,并且不超出它們所需的權(quán)限���。
零信任網(wǎng)絡(luò)接入(Zero Trust Network Access, ZTNA)是ZTA的一個(gè)組件��,用于控制應(yīng)用的接入�,無論應(yīng)用的用戶或者應(yīng)用本身在哪��。用戶可能在一個(gè)企業(yè)網(wǎng)絡(luò)上����、可能在家工作���、或者其他某個(gè)地方。應(yīng)用可能存在于企業(yè)的數(shù)據(jù)中心���、在私有云�����、或者在公共網(wǎng)絡(luò)上�����。ZTNA將零信任模型從網(wǎng)絡(luò)側(cè)繼續(xù)延展,通過將應(yīng)用從互聯(lián)網(wǎng)上隱藏減少攻擊面�����。
3. 網(wǎng)絡(luò)準(zhǔn)入控制是ZTA的起點(diǎn)
如果要落地ZTA��,首先要知道網(wǎng)絡(luò)上所有的設(shè)備�。一個(gè)網(wǎng)絡(luò)準(zhǔn)入控制解決方案可以準(zhǔn)確發(fā)現(xiàn)和識(shí)別每個(gè)在網(wǎng)絡(luò)上或者試圖接入網(wǎng)絡(luò)的設(shè)備,對(duì)其進(jìn)行掃描以確保設(shè)備并沒有已經(jīng)遭到攻擊��,然后為該設(shè)備建立角色和權(quán)限���。
網(wǎng)絡(luò)準(zhǔn)入控制會(huì)記錄所有設(shè)備���,從用戶電話和筆記本電腦��,到網(wǎng)絡(luò)服務(wù)器�����、打印機(jī)����、以及如HVAC控制器或者安全讀卡器等無界面物聯(lián)網(wǎng)設(shè)備��。
4. 微隔離是關(guān)鍵
一旦知道了網(wǎng)絡(luò)上有些什么����,就可以用網(wǎng)絡(luò)準(zhǔn)入控制的動(dòng)態(tài)網(wǎng)絡(luò)微隔離將每個(gè)設(shè)備分配到適合的網(wǎng)絡(luò)區(qū)域。決定哪個(gè)是正確的區(qū)域會(huì)基于一系列的因素�����,包括設(shè)備類型���、功能���、網(wǎng)絡(luò)上的目的等����。
網(wǎng)絡(luò)準(zhǔn)入控制同樣可以支持基于目的隔離���,可以通過下一代防火墻平臺(tái)智能化分隔設(shè)備���。分隔區(qū)可以基于業(yè)務(wù)目標(biāo),比如GDPR隱私法律的合規(guī)要求��,或者PCI-DSS的交易保護(hù)��。在有基于目的的分區(qū)情況下���,無論在網(wǎng)絡(luò)何處的資產(chǎn)���,都會(huì)基于其標(biāo)簽符合合規(guī)需求����,從而減少滿足合規(guī)需要的時(shí)間和成本。
5. ZTA需要終端軟件
為了解決離線設(shè)備接入客戶端或者云的解決方案,需要在終端上運(yùn)行相關(guān)軟件����。這個(gè)軟件必須在終端提供持續(xù)的防護(hù)以及基于行為的檢測,防止設(shè)備淪陷���,無論用戶是否在線��。
這類軟件同樣需要能夠通過虛擬專用網(wǎng)連接��、流量掃描�����、URL過濾和沙箱能力確保遠(yuǎn)程接入安全��。共享終端的安全狀態(tài)是認(rèn)證和授權(quán)流程的一部分���,包括對(duì)終端進(jìn)行遙測,收集終端的操作系統(tǒng)和應(yīng)用�����、已知漏洞和補(bǔ)丁����,以及安全狀態(tài)�����,從而準(zhǔn)確賦予設(shè)備接入規(guī)則�。
ZTA很重要���,不只是一個(gè)時(shí)髦詞
在當(dāng)下這個(gè)環(huán)境��,遠(yuǎn)程辦公以及大量員工設(shè)備已經(jīng)成為常態(tài)��。ZTA已然成為了網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵方面�。組織有機(jī)會(huì)轉(zhuǎn)向ZTA框架�,以識(shí)別、分隔����、持續(xù)監(jiān)控所有設(shè)備。ZTA確保數(shù)據(jù)��、應(yīng)用和知識(shí)產(chǎn)權(quán)等內(nèi)部資源始終安全�。
除了簡化整體網(wǎng)絡(luò)以及安全管理�,零信任方案同樣能增加組織中的可視化以及控制能力����,包括離線的設(shè)備��。ZTA應(yīng)成為任何一個(gè)有效安全策略的基礎(chǔ)�����。只要零信任正確落地���,它會(huì)只允許正確的人或者實(shí)體快速接入完成他們工作所需要的資源�,同時(shí)減少因未授權(quán)接入產(chǎn)生的風(fēng)險(xiǎn)和下線時(shí)間�。
點(diǎn)評(píng)
從本文的建議中不難發(fā)現(xiàn),零信任訪問的關(guān)鍵之一在于網(wǎng)絡(luò)準(zhǔn)入控制——或者說零信任訪問是現(xiàn)有網(wǎng)絡(luò)準(zhǔn)入控制的未來形態(tài)�����。不僅是從技術(shù)層面��,從邏輯層面也需要對(duì)企業(yè)的網(wǎng)絡(luò)進(jìn)行改變��。零信任理念的擴(kuò)展必然會(huì)讓網(wǎng)絡(luò)控制準(zhǔn)入解決方案廠商開辟新的市場�。
網(wǎng)頁題目:部署零信任訪問的五個(gè)關(guān)鍵點(diǎn)
鏈接地址:
http://uogjgqi.cn/article/djggogs.html
