《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 零基礎(chǔ)打造零信任架構(gòu)的十大建議

零基礎(chǔ)打造零信任架構(gòu)的十大建議

2020-11-27
來源: 安全牛
關(guān)鍵詞: 零信任架構(gòu)

微信圖片_20201127160029.jpg

  虛假情報數(shù)量增加,,企業(yè)安全運營疲勞,;

  遠程辦公常態(tài)化,,殘存安全邊界徹底消失;

  數(shù)字化轉(zhuǎn)型導致攻擊面不斷增長;

  數(shù)據(jù)泄露規(guī)模不斷增長,,違規(guī)成本提升,;

  年輕黑客不講武德,傳統(tǒng)安全方案直呼“大E了,,沒有閃”,。

  毫無疑問,以上這些因素都在推動零信任成為當下最火爆的企業(yè)網(wǎng)絡(luò)細分市場之一,。

  隨著公有云服務(wù)的廣泛采用和移動工作者規(guī)模的增長,基于邊界的安全模型已經(jīng)過時,。組織的應用程序和數(shù)據(jù)可能同時存在于傳統(tǒng)防火墻內(nèi)部和外部,,而邊界控件幾乎無法阻止攻擊者獲得初始訪問權(quán)限后在網(wǎng)絡(luò)上橫向活動,此時安全和IT團隊需要的是向“無邊界”安全的轉(zhuǎn)變,,這就是零信任,。

  當企業(yè)園區(qū)網(wǎng)絡(luò)轉(zhuǎn)移到分布式遠程辦公模型,并面對物聯(lián)網(wǎng),、5G等新的不斷擴大的威脅矢量時,,企業(yè)必須迅速采用“從不信任、始終驗證”的零信任安全思想,,以限制攻擊并防止其橫向移動,。然而盡管企業(yè)對零信任頗為關(guān)注,將其視為網(wǎng)絡(luò)安全策略的必要組成部分,,但仍缺乏廣泛采用的辦法,,實現(xiàn)零信任模型可能需要企業(yè)數(shù)年的努力,并調(diào)動企業(yè)各個方面進行協(xié)作,。

  實現(xiàn)零信任安全性的十條建議

  千里之行,,始于足下。如果你決心部署零信任模型,,或者僅僅在考慮階段,,可以參考以下十條建議,即便“條條大道通零信任”,,這些普適建議仍然能幫您聚焦重點問題,,少走彎路和邪路。

  建議1:圍繞身份進行重新調(diào)整

微信圖片_20201127160032.jpg

  身份是零信任的最佳起點,。用戶可以擁有多個設(shè)備,,并從各種網(wǎng)絡(luò)和應用訪問企業(yè)資源,而身份就是所有訪問請求的共同特性,。無論該請求是來自公共Wi-Fi網(wǎng)絡(luò)上的個人設(shè)備還是來自網(wǎng)絡(luò)邊界內(nèi)的企業(yè)設(shè)備,,使用身份作為控制平面可以讓公司在全面審查用戶、設(shè)備和其他因素之前將每個訪問請求都視為不受信任的請求。

  目前很多組織使用微分段作為實現(xiàn)零信任的辦法,,它可用于減少攻擊面和防護本地和傳統(tǒng)應用程序環(huán)境中的漏洞,。然而,云環(huán)境中,,企業(yè)資產(chǎn)之間的網(wǎng)絡(luò)通常不由IT擁有或管理,,該方法將會大打折扣??鐚I(yè)孤島的團隊應圍繞基于身份的保護進行協(xié)調(diào),,在資產(chǎn)與其潛在威脅之間創(chuàng)建完善的訪問網(wǎng)關(guān),為零信任模型奠定基礎(chǔ),。

  建議2:實施條件訪問控制

微信圖片_20201127160034.jpg

  黑客往往是在入侵身份憑據(jù)后,,使用憑據(jù)訪問系統(tǒng)并在網(wǎng)絡(luò)中橫向活動。因此,,憑據(jù)的可信度不能僅從特定用戶或其設(shè)備位于公司網(wǎng)絡(luò)內(nèi)部還是外部來推斷,。這要求我們在進行徹底審查之前,應采用“假設(shè)有漏洞”的理念,,不要信任任何請求,。對于零信任而言,訪問控制決策應該是動態(tài)的,,并基于對每次跨多維度資源請求的相關(guān)風險評估和背景理解有條件地授予,,這種針對用戶和設(shè)備的合適條件確定訪問權(quán)限的條件訪問方法,綜合考慮了用戶身份和訪問權(quán)限,、設(shè)備運行狀況,、應用程序和網(wǎng)絡(luò)安全以及所訪問數(shù)據(jù)的敏感度,可防止黑客使用被盜憑據(jù)在網(wǎng)絡(luò)中橫向活動,。

  建議3:增加憑據(jù)強度

微信圖片_20201127160036.jpg

  弱密碼會削弱身份系統(tǒng)的安全性,,黑客可以輕松通過諸如密碼噴射或憑據(jù)填充攻擊等方式破壞你的網(wǎng)絡(luò)。而多重身份驗證可以針對關(guān)鍵應用和數(shù)據(jù)的訪問提供額外的用戶驗證層,,將其納入條件訪問限制有助于實現(xiàn)更穩(wěn)妥的用戶驗證,,并限制黑客濫用被盜憑據(jù)的能力。

  建議4:規(guī)劃雙邊界戰(zhàn)略

微信圖片_20201127160038.jpg

  為了防止業(yè)務(wù)中斷和重新引入舊風險,,應在維持現(xiàn)有基于網(wǎng)絡(luò)的保護的同時,,向環(huán)境中添加新的基于身份的控件。在零信任環(huán)境中,,必須將應用程序視為云應用程序或傳統(tǒng)程序,。其中云原生應用程序可以支持基于身份的控件,并允許條件訪問規(guī)則相對輕松地進行疊加,。

  另一類別包括傳統(tǒng)環(huán)境中設(shè)計為位于網(wǎng)絡(luò)防火墻之后的應用程序,。這些應用程序需要通過現(xiàn)代化才能支持基于身份的條件訪問,。若要大規(guī)模實現(xiàn)現(xiàn)代化,需要通過安全的身份驗證網(wǎng)關(guān)或應用程序代理啟用訪問,,省去VPN連接步驟,,進而降低風險。

  建議5:集成情報和行為分析

微信圖片_20201127160040.jpg

  支持云應用程序中基于身份的訪問控制并不是加速云遷移的唯一原因,。云還能夠生成更豐富的遙測數(shù)據(jù),,以實現(xiàn)更明智的訪問控制決策。例如,,這種遙測數(shù)據(jù)可以更輕松地推斷異常用戶或?qū)嶓w行為來識別威脅,,從而增強條件訪問控制。

  做出明智訪問控制決策的能力取決于你集成到這些決策中的信號質(zhì)量,、數(shù)量和多樣性,。例如,集成威脅情報源(如僵尸程序或惡意軟件的IP地址)將迫使攻擊者不斷獲取新資源,;集成有關(guān)登錄的詳細信息(時間、位置等)并查看其是否與該用戶的日常行為相符,,將使攻擊者更難模仿用戶行為,,同時最大限度地減少用戶不便。

  建議6:減少攻擊面

  為了增強身份基礎(chǔ)結(jié)構(gòu)的安全性,,必須確保將攻擊面降至最低,,企業(yè)可以實施特權(quán)身份管理最大程度地降低入侵帳戶以管理員或其他特權(quán)角色進行使用的可能性;也可以使用不支持條件訪問或多重身份驗證的舊式身份驗證協(xié)議阻止應用,。此外,,還可以限制身份驗證訪問入口點,控制用戶訪問應用和資源的方式,。

  建議7:提高安全意識

  你的身份和終結(jié)點基礎(chǔ)結(jié)構(gòu)可以生成大量安全事件和警報,,甚至是一些可以活動和模式。這些可疑的活動和模式可指示潛在網(wǎng)絡(luò)入侵和事件,,如憑據(jù)泄露,、IP地址錯誤以及來自受感染設(shè)備的訪問。企業(yè)可以使用安全信息和事件管理(SIEM) 系統(tǒng)聚合和關(guān)聯(lián)數(shù)據(jù),,以更好地檢測可疑活動和模式,。

  SIEM系統(tǒng)可用于審核用戶活動、記錄法規(guī)要求的合規(guī)情況并幫助進行取證分析,。它還可以改進對最小特權(quán)訪問的監(jiān)控,,并確保用戶只能訪問他們真正需要的資源。

  建議8:實施最終用戶自助功能

  與許多其他安全計劃相比,,用戶對零信任的抵觸可能要小得多,。零信任使安全組織能夠接納現(xiàn)代生產(chǎn)力場景(如移動設(shè)備,、BYOD和SaaS應用程序)并確保其安全,同時在不損害安全性的前提下維持用戶的滿意度,。

  IT團隊可以通過授權(quán)用戶執(zhí)行某些安全任務(wù)(如:自助式密碼重置)來減少摩擦,,允許用戶在無管理員參與的情況下重置或解鎖賬戶密碼,同時監(jiān)控濫用或誤用情況,,既可以確保安全性又能提高工作效率,。同樣,也可以實施自助群組管理,,允許所有者創(chuàng)建和管理群組,。

  建議9:不要過度承諾

  零信任并非是像實施多重身份驗證那樣的單一“大爆炸式”舉措。實際上,,它是一種長期策略的最終階段,,其新一代安全控件的構(gòu)建完全不同于傳統(tǒng)的基于網(wǎng)絡(luò)的訪問模型。這一愿景需要在很長一段時間內(nèi)通過陸續(xù)實施一系列小項目來實現(xiàn),。

  在此過程中,,適當制定和管理預期目標非常重要。在項目生命周期中,,應尋求關(guān)鍵利益相關(guān)者的支持并制定與他們進行有效溝通的計劃,。應做好準備,采取措施克服習慣于以迥異方式行事的群體帶來的文化抵觸和其他挑戰(zhàn),。

  建議10:全程展現(xiàn)價值

微信圖片_20201127160043.jpg

  為零信任舉措構(gòu)建長期支持的最有效方式之一,,是在每一項投資中都展現(xiàn)出增值價值。在IDG的安全調(diào)查中,,超過一半的受訪者 (51%) 表示零信任訪問模型將有助于提高保護客戶數(shù)據(jù)的能力,,46%的受訪者則表示它將有助于實現(xiàn)更卓越、更安全的最終用戶體驗,。

  集成到?jīng)Q策中的信號質(zhì)量,、數(shù)量和多樣性決定了你做出明智訪問控制決策的能力。例如,,集成威脅情報源(如僵尸程序或惡意軟件的IP地址)將迫使攻擊者不斷獲取新資源,;集成有關(guān)登錄的詳細信息(時間、位置等)并查看其是否與該用戶的日常行為相符,,將使攻擊者更難模仿用戶行為,,同時最大限度地減少用戶不便。

  擁抱零信任理念,,重構(gòu)安全體系架構(gòu)

  雖然零信任模型并不容易實現(xiàn),,但它卻是數(shù)字企業(yè)長期現(xiàn)代化目標的關(guān)鍵要素。人們無法預測哪一天會出現(xiàn)哪些新的漏洞,,或者攻擊者會以何種方式進入自己的環(huán)境,。所以絕對不能假定自己使用的任何特定用戶或設(shè)備,、應用或網(wǎng)絡(luò)絕對安全,確保安全性的唯一合理方法是不信任任何人并驗證一切,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]