网络安全的流行语--零信任

2020-04-22 17:17:31 云杰 109

零信任是什么? 零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人事物,应在授权前对任何试图接入企业系统的人事物进行验证。 简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。 它通过消除组织网络体系结构中的信任概念来帮助防止成功破坏数据。零信任根植于“永不信任,始终验证”的原则,旨在通过利用网络分段,防止横向移动,提供第7层威胁防护以及简化精细的用户访问控制来保护现代数字环境。 在现在网络安全不被信任的状况下,假定用户的身份没有受到损害,并且所有用户都以负责任的方式行动并且可以信任。零信任模型认为信任是一个漏洞。一旦进入网络,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动并访问或泄露其不仅限于此的任何数据。攻击的渗透点通常不是目标位置。  零信任架构 在“零信任”中,需要确定“保护面”。 保护表面由网络的最关键和最有价值的数据,资产,应用程序和服务组成。保护表面对于每个组织都是唯一的。因为它只包含对组织运营最关键的内容,所以保护面比攻击面小几个数量级,并且始终是已知的。 识别出保护面后,您可以确定流量如何在整个组织中相对于保护面流动。了解用户是谁,他们正在使用哪些应用程序以及如何连接它们是确定和执行确保安全访问数据的策略的唯一方法。一旦了解了DAAS,基础架构,服务和用户之间的相互依赖性,就应该将控件放置在尽可能靠近保护表面的位置,并在其周围创建一个微边界。无论其走到哪里,该微周边都随保护表面一起移动。您可以通过部署细分网关来创建微周边(通常称为下一代防火墙),以确保只有已知的,允许的流量或合法的应用程序才能访问保护表面。 在围绕保护表面建立了“零信任”策略之后,您将继续实时监视和维护,寻找诸如保护表面中应包含的内容,尚未考虑的相互依赖性以及改进策略的方法。  无处不在:零信任 零信任不依赖于位置。用户,设备和应用程序工作负载现在无处不在,因此您不能在一个位置实施零信任,需要在整个环境中实施零信任。合适的用户需要有权访问合适的应用程序和数据。 用户还可以从任何地方访问关键的应用程序和工作负载:家庭,咖啡店,办公室和小型分支用户机构。零信任要求一致的可见性,执行力和控制力,可以直接在设备上或通过云交付。软件定义的边界提供安全的用户访问权限,并防止数据丢失,无论用户身在何处,正在使用哪些设备,或在何处托管工作负载和数据。   工作负载是高度动态的,并且在多个数据中心以及公共,私有和混合云之间移动。借助零信任,您必须深入了解,设备,网络,应用程序和数据之间的活动和相互依赖性。分段网关可以监控流量,阻止威胁并在本地数据中心和多云环境中跨南北向和东西向流量实施粒度访问。    实现零信任 实现零信任通常被认为是昂贵且复杂的。但是,零信任建立在您现有的体系结构上,不需要您撕裂和替换现有技术。没有零信任产品。有些产品在“零信任”环境中运行良好,而有些则不能。零信任也非常容易使用五步方法进行部署,实施和维护: 识别保护面 映射交易流 建立零信任架构 创建零信任政策 监控和维护


零信任是什么?

零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人事物,应在授权前对任何试图接入企业系统的人事物进行验证。

简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。

它通过消除组织网络体系结构中的信任概念来帮助防止成功破坏数据。零信任根植于永不信任,始终验证的原则,旨在通过利用网络分段,防止横向移动,提供第7层威胁防护以及简化精细的用户访问控制来保护现代数字环境。

在现在网络安全不被信任的状况下,假定用户的身份没有受到损害,并且所有用户都以负责任的方式行动并且可以信任。零信任模型认为信任是一个漏洞。一旦进入网络,用户(包括威胁行为者和恶意内部人员)可以自由地横向移动并访问或泄露其不仅限于此的任何数据。攻击的渗透点通常不是目标位置。

 

零信任架构

零信任中,需要确定保护面

保护表面由网络的最关键和最有价值的数据,资产,应用程序和服务组成。保护表面对于每个组织都是唯一的。因为它只包含对组织运营最关键的内容,所以保护面比攻击面小几个数量级,并且始终是已知的。

识别出保护面后,您可以确定流量如何在整个组织中相对于保护面流动。了解用户是谁,他们正在使用哪些应用程序以及如何连接它们是确定和执行确保安全访问数据的策略的唯一方法。一旦了解了DAAS,基础架构,服务和用户之间的相互依赖性,就应该将控件放置在尽可能靠近保护表面的位置,并在其周围创建一个微边界。无论其走到哪里,该微周边都随保护表面一起移动。您可以通过部署细分网关来创建微周边(通常称为下一代防火墙),以确保只有已知的,允许的流量或合法的应用程序才能访问保护表面。

在围绕保护表面建立了零信任策略之后,您将继续实时监视和维护,寻找诸如保护表面中应包含的内容,尚未考虑的相互依赖性以及改进策略的方法。

 

无处不在:零信任

零信任不依赖于位置。用户,设备和应用程序工作负载现在无处不在,因此您不能在一个位置实施零信任,需要在整个环境中实施零信任。合适的用户需要有权访问合适的应用程序和数据。

用户还可以从任何地方访问关键的应用程序和工作负载:家庭,咖啡店,办公室和小型分支用户机构。零信任要求一致的可见性,执行力和控制力,可以直接在设备上或通过云交付。软件定义的边界提供安全的用户访问权限,并防止数据丢失,无论用户身在何处,正在使用哪些设备,或在何处托管工作负载和数据  

工作负载是高度动态的,并且在多个数据中心以及公共,私有和混合云之间移动。借助零信任,您必须深入了解,设备,网络,应用程序和数据之间的活动和相互依赖性。分段网关可以监控流量,阻止威胁并在本地数据中心和多云环境中跨南北向和东西向流量实施粒度访问。

  

实现零信任

实现零信任通常被认为是昂贵且复杂的。但是,零信任建立在您现有的体系结构上,不需要您撕裂和替换现有技术。没有零信任产品。有些产品在零信任环境中运行良好,而有些则不能。零信任也非常容易使用五步方法进行部署,实施和维护:

l识别保护面

l映射交易流

l建立零信任架构

l创建零信任政策

l监控和维护