《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 如何在應(yīng)用層面實(shí)施零信任,?

如何在應(yīng)用層面實(shí)施零信任,?

2021-04-25
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 零信任 應(yīng)用層

  網(wǎng)絡(luò)安全行業(yè)中經(jīng)常提起零信任,零信任是什么呢,?

  零信任安全架構(gòu)從本質(zhì)可概括為以身份為基石的動(dòng)態(tài)訪問(wèn)控制,,是在不可信的現(xiàn)代網(wǎng)絡(luò)環(huán)境下,通過(guò)動(dòng)態(tài)訪問(wèn)控制技術(shù),,以細(xì)粒度的應(yīng)用,、接口、數(shù)據(jù)為核心保護(hù)對(duì)象,,遵循最小權(quán)限原則,,構(gòu)筑端到端的邏輯身份邊界。

  然而,,對(duì)各類IT專業(yè)從業(yè)人員來(lái)說(shuō),,零信任的意義也許是不相同的。零信任可能代表著最終的安全狀態(tài),,也可能指提升安全能力所需的指導(dǎo)原則或框架,。我們?nèi)绾卧诓煌斫獾那闆r下運(yùn)用零信任保障企業(yè)安全呢?

  網(wǎng)絡(luò)層面的安全

  傳統(tǒng)邊界防御架構(gòu)關(guān)注防護(hù)能力的構(gòu)建,,對(duì)網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別,、檢測(cè)、防護(hù)和閉環(huán)響應(yīng),。邊界安全模型區(qū)分內(nèi)網(wǎng)和外網(wǎng),,通常被比作中世紀(jì)的城堡:有著厚厚的圍墻,被護(hù)城河環(huán)繞,,守衛(wèi)森嚴(yán),,僅有單個(gè)入口和出口。任何墻外的東西都被認(rèn)為是危險(xiǎn)的,,任何墻內(nèi)的東西都是安全可信的,。

  然而,如今網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜,,業(yè)務(wù)頻繁多樣,,數(shù)據(jù)流動(dòng)加快,攻擊和破壞不再僅發(fā)生于網(wǎng)絡(luò)層面了,,其他IT棧堆組件也可能成為發(fā)起攻擊造成破壞的載體,。

  應(yīng)用層面的安全

  我們以未經(jīng)授權(quán)訪問(wèn)下最主要攻擊向量企業(yè)應(yīng)用舉例,通常用戶只要通過(guò)網(wǎng)絡(luò)身份驗(yàn)證后,,就可以直接訪問(wèn)應(yīng)用,。但是,,如今企業(yè)應(yīng)用會(huì)收到層出不窮的攻擊侵害,僅憑驗(yàn)證用戶身份是不能夠全面防護(hù)威脅的,。

  簡(jiǎn)言之,,即使企業(yè)已經(jīng)針對(duì)網(wǎng)絡(luò)層面實(shí)施安全防護(hù),也并不意味著企業(yè)應(yīng)用受到了適當(dāng)?shù)谋Wo(hù),。

  若要在應(yīng)用層面實(shí)施零信任,,則需要重新考慮每個(gè)應(yīng)用的訪問(wèn)方式、交互通信方式,、數(shù)據(jù)共享以及用戶身份認(rèn)證等多個(gè)因素,。這時(shí),安全實(shí)施者不再是從代碼漏洞的角度審視應(yīng)用本身,,而是應(yīng)該去了解應(yīng)用該擁有或者說(shuō)可以接受的行為,。

  理想情況下,應(yīng)用也該被分配基于行為的安全身份以確定權(quán)限,。

  在應(yīng)用層面實(shí)施零信任

  在應(yīng)用層面實(shí)施零信任意味著需要分析每個(gè)應(yīng)用的行為,,用來(lái)驗(yàn)證某個(gè)應(yīng)用執(zhí)行的功能屬于是適當(dāng)?shù)牟⑶遗c數(shù)據(jù)文件的交互也符合權(quán)限。在分析的同時(shí),,可以為建立應(yīng)用的行為參數(shù)庫(kù),,對(duì)其建立安全標(biāo)識(shí),。

  實(shí)施應(yīng)用層面的零信任,,可以參考以下步驟:

  發(fā)現(xiàn)并歸類所有企業(yè)應(yīng)用程序;

  觀察,、監(jiān)控應(yīng)用行為,,建立預(yù)期、授權(quán)活動(dòng)的基線,;

  消除在行為分析過(guò)程中發(fā)現(xiàn)的任何安全風(fēng)險(xiǎn)(即不必要的權(quán)限,、過(guò)大的權(quán)限、風(fēng)險(xiǎn)依存關(guān)系等),;

  創(chuàng)建針對(duì)應(yīng)用活動(dòng)的強(qiáng)制安全策略,,僅允許授權(quán)行為;

  違反策略時(shí)將警報(bào)推送至控制點(diǎn),,以便觸發(fā)糾正措施來(lái)補(bǔ)救威脅,。

  在這種情況下,每個(gè)應(yīng)用都有信任范圍,,并且權(quán)限只能限制在正常運(yùn)行所需的權(quán)限,。任何類型的攻擊都屬于正常行為范圍之外,能夠觸發(fā)警報(bào)或關(guān)閉應(yīng)用會(huì)話,,有效阻止任何未經(jīng)授權(quán)的活動(dòng)或受限訪問(wèn)資源,。

  網(wǎng)絡(luò)安全從業(yè)人員保護(hù)的不僅是網(wǎng)絡(luò),,還要保護(hù)數(shù)據(jù)、身份,、應(yīng)用等,。將零信任應(yīng)用于應(yīng)用層面,以身份為基石,,基于行為持續(xù)評(píng)估信任,,動(dòng)態(tài)地調(diào)整策略,確保員工能安全地開展業(yè)務(wù),。這樣,,減少了攻擊面,網(wǎng)絡(luò)安全團(tuán)隊(duì)能實(shí)現(xiàn)更全面地保護(hù),,企業(yè)避免遭受安全風(fēng)險(xiǎn),。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。