什么是零信任?

零信任是一种 IT 安全方法的名称,它假定没有受信任的网络边界,并且每个网络事务都必须经过身份验证才能发生。零信任基于“从不信任,始终验证”的原则,并依赖于其他网络安全方法,例如 网络分段 和严格的访问控制。零信任网络定义了一个“保护表面”,其中包括关键数据、资产、应用程序和服务,有时称为 DAAS。保护面通常比整个攻击面小得多,因为只包括关键资产。

什么是零信任?

零信任安全已经取代了企业网络边界内的资源应受信任的旧假设,并将信任视为漏洞,因为“受信任”网络上的用户有能力在整个网络中移动或导致任何和所有数据泄露他们被授予访问权限。

在零信任架构中,不会尝试创建受信任的网络。相反,完全消除了信任的概念。一旦确定了保护面,网络流量如何穿越该面、了解哪些用户正在访问受保护的资产,以及对使用的应用程序和连接方法进行分类,就成为为受保护数据创建和执行安全访问策略的关键。当理解了这些依赖关系后,可以将控制放置在靠近保护表面的位置以创建微边界,通常是通过使用 下一代防火墙 (NGFW) 称为分段网关,仅允许来自合法用户和应用程序的已知流量。NGFW 提供流量可见性,并基于 Kipling 方法实施访问控制,根据谁、什么、何时、何地、为什么以及如何定义访问策略。这有助于确定哪些流量可以通过微边界,将未经授权的用户和应用程序拒之门外,并将敏感数据拒之门外。

由于劳动力分散且偏远,因此零信任不依赖于任何特定位置。资产和用户可以驻留在任何地方——本地、一个或多个云中或边缘,无论是在员工家中还是作为物联网设备。

谁创造了零信任?

零信任是 Forrester Research 副总裁兼首席分析师 John Kindervag 的创意。2010 年,当他意识到现有的安全模型依赖于企业网络中的一切都应该被信任的过时假设时,他提出了该概念的模型。2013 年,当 Google 宣布在自己的网络中实施零信任安全策略时,零信任模型的接受度加速。到 2019 年,Gartner 已将零信任列为安全访问服务边缘解决方案的核心组成部分。

什么是零信任?

您如何实现零信任架构?

尽管通常被认为实现起来复杂且昂贵,但零信任使用现有的网络架构,而不是叉车升级。没有零信任产品本身,而是有与零信任架构和环境兼容的产品——以及不兼容的产品。使用 Forrester 在 2010 年概述的五步方法,零信任架构可以很容易地部署和维护。

识别保护表面 ,包括敏感数据和应用程序。Forrester 推荐使用公共、内部和机密类别的简单三类模型。然后可以将需要保护的数据分割成微边界,这些微边界可以链接在一起以产生更广泛的零信任网络。

映射所有敏感数据的事务流 ,以了解数据如何在人员、应用程序以及与业务合作伙伴和客户的外部连接之间移动。然后可以公开和保护网络和系统对象的依赖关系。此练习可以产生可以提高整体性能和安全性的数据流优化

根据数据和事务在整个企业(和外部合作伙伴)中的流动方式,为每个微边界定义零信任架构。这可以通过 使用物理或虚拟 NGFW的软件定义网络(SDN) 和安全协议来实现。

网络设计完成后创建零信任策略。许多组织使用 Kipling 方法,该方法解决了您的策略和网络的对象、内容、时间、地点、原因和方式。这启用了细粒度的第 7 层强制策略,因此只有已知和授权的应用程序或用户被授予访问保护表面的权限。假设所有个人设备,无论是公司拥有的还是 BYOD,都是不安全的。

自动化、监控和维护 ,通过监控周围的活动来确定任何异常流量的流向。找出异常活动发生的位置并监控所有周围的活动。自动化日志流量的检查和分析,以便数据可以在不影响操作的情况下流动。

什么是零信任?

零信任的核心原则是什么?

“永远不要相信,永远验证”。零信任的核心原则是摒弃网络内任何东西都是安全的过时信念。由于劳动力性质的变化、几乎可以在任何地方都有组件的基于微服务的应用程序的采用以及业务流程日益协作的性质,不再存在安全边界。远程员工不再受防火墙保护,即使是连接 VPN 的员工也是如此。而且没有安全的设备。没有智能手机,没有台式机,时期。

零信任不是技术或产品。这是一种保护关键业务资产免受窥探和恶意软件攻击的方法。NGFW、多因素身份验证以及 微分段 和最小权限原则等产品支持零信任。

零信任没有单一的方法或技术。架构将取决于保护面的大小和由此产生的微分段,架构师必须考虑零信任策略对受影响应用程序、数据库和其他资源的用户体验的影响。

零信任可能要求企业重新评估如何保护每项资产,因为执法有效地从网络边界转移到保护表面中的单个系统和应用程序。零信任不是确定请求来自何处以及该网络是否安全,而是尝试对特定用户和设备进行身份验证,以确保他们是谁以及他们声称的身份。这应该包括基于提供的其他身份验证为设备分配信任的能力,例如,如果提供了正确的用户 ID 和密码,“已知”智能手机不需要令牌。

零信任可能是一个挑战,因为它会限制访问,并可能激怒那些随意访问不需要执行其工作职能的应用程序的人。对零信任网络的需求和好处进行适当的教育和培训应该在最初的推出和新用户的加入中发挥重要作用。

什么是零信任?

零信任在远程劳动力安全中的作用是什么?

全球冠状病毒大流行大大增加了在家工作的员工数量,许多分析人士认为,即使威胁过去,许多组织仍将继续为无需亲自到场工作的员工推广在家工作 (WFH)工作职能。随着远程访问系统的用户数量增加,对远程工作人员和设备的网络攻击以及通过远程工作人员对公司系统的网络攻击也可能会增加。因此,由于大部分远程员工,企业网络面临网络犯罪和勒索软件的风险越来越大。

鉴于在家工作的员工数量增加,对远程员工的攻击可能会继续增加。网络犯罪分子已经准备好并愿意利用家庭目标的更大范围的工作,这将企业网络和数据置于比正常情况更高的风险水平。许多组织已经采用或将采用零信任安全模型,其目的是对每个用户以及他们用于访问的设备进行身份验证,同时将每个用户的权限降低到进行业务交易所需的绝对最低限度。

这减轻了员工对大部分安全堆栈的责任,因为零信任假设员工在被证明并非如此之前是天生不安全的。即使是最小的组织也可以开始采用零信任安全策略,例如坚持对每个用户(无论是内部用户还是外部用户)进行多因素身份验证。

许多为不断增长的远程劳动力而苦苦挣扎的组织通过使用基于 Web 的网关前端来做到这一点,无论它来自何处,对保护表面的所有访问都必须通过该网关前端。这样的网关可以执行身份验证任务,甚至可以确保设备和操作系统在授予访问权限之前应用了最新的安全补丁。

什么是零信任?

由于 WFH 员工通常依赖两个或更多设备来执行工作功能,因此零信任安全性完全与设备和网络无关非常重要。由于远程工作将继续存在,零信任在新设备和未知设备上实现安全连接的能力将继续成为其持续增长的一个因素。

文章链接: https://www.mfisp.com/9877.html

文章标题:什么是零信任?

文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
IDC云库

什么是云工作负载保护?

2022-9-9 11:45:39

IDC云库

什么是零信任边缘?

2022-9-9 13:48:28

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
客户经理
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

梦飞科技 - 最新云主机促销服务器租用优惠