梦入神机,大主宰天蚕土豆小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

建立零信任IT環(huán)境的5個(gè)步驟

零信任不是產(chǎn)品或服務(wù)，當(dāng)然也不僅僅是流行語。相反，它是網(wǎng)絡(luò)安全防御的一種特殊方法。顧名思義，不是“先驗(yàn)證，然后信任”，而是“永遠(yuǎn)不要信任，永遠(yuǎn)要驗(yàn)證”。

黎城網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營維護(hù)。創(chuàng)新互聯(lián)2013年至今到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

本質(zhì)上，零信任是通過限制數(shù)據(jù)訪問來保護(hù)數(shù)據(jù)。無論是否在網(wǎng)絡(luò)范圍之內(nèi)，企業(yè)都不會(huì)自動(dòng)信任任何人或任何事物。零信任方法要求在授予訪問權(quán)限之前，對(duì)試圖連接到企業(yè)的應(yīng)用程序或系統(tǒng)的每個(gè)人、設(shè)備、帳戶等進(jìn)行驗(yàn)證。

然而，網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)之初不是已有這個(gè)功能了嗎?難道零信任只是在此基礎(chǔ)上增加某些額外的控件?

的確，零信任框架包括許多企業(yè)廣泛使用的數(shù)據(jù)保護(hù)技術(shù)。但是，零信任代表著一個(gè)清晰的支點(diǎn)，即如何思考網(wǎng)絡(luò)安全防御。這種方法不僅可以保護(hù)整個(gè)企業(yè)，而且還可以將該范圍擴(kuò)大到組織內(nèi)外的每個(gè)網(wǎng)絡(luò)、系統(tǒng)、用戶和設(shè)備。強(qiáng)大的身份、多因素身份驗(yàn)證、受信任的端點(diǎn)、網(wǎng)絡(luò)分段、訪問控制和用戶歸因來分隔和規(guī)范敏感數(shù)據(jù)以及系統(tǒng)訪問，從而讓零信任成為可能。

簡而言之，零信任是一種新的思考網(wǎng)絡(luò)安全的方法，可幫助組織在當(dāng)今瞬息萬變的威脅形勢下保護(hù)其數(shù)據(jù)、客戶和自己的競爭優(yōu)勢。

網(wǎng)絡(luò)安全零信任正恰逢其時(shí)

企業(yè)高管已經(jīng)感受到保護(hù)企業(yè)系統(tǒng)和數(shù)據(jù)的壓力了。投資者和“數(shù)據(jù)主體”(客戶和消費(fèi)者)也堅(jiān)持要求有更好的數(shù)據(jù)安全。某些數(shù)據(jù)和應(yīng)用程序?yàn)楸镜夭渴?，而某些則在云中時(shí)，安全問題將變得更加復(fù)雜，從員工到承包商和合作伙伴，每個(gè)人都在使用多個(gè)位置的各種設(shè)備來訪問這些應(yīng)用程序。同時(shí)，政府和行業(yè)法規(guī)也在提高保護(hù)重要數(shù)據(jù)的要求，零信任可以幫助企業(yè)滿足這些合規(guī)要求。

零信任網(wǎng)絡(luò)安全技術(shù)

幸運(yùn)的是，零信任背后的技術(shù)正在迅速發(fā)展，這也讓該方法如今更加實(shí)用。實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全框架的方法不是單一的，也不僅僅只是一種技術(shù)。而是需要多種技術(shù)，這樣才可以確保只有經(jīng)過安全驗(yàn)證的用戶和設(shè)備才能訪問目標(biāo)應(yīng)用程序和數(shù)據(jù)。

例如，基于“最低特權(quán)”的原則授予訪問權(quán)限，僅為用戶提供完成工作所需的數(shù)據(jù)。這包括實(shí)施到期特權(quán)和一次性使用的憑證，這些憑證在不需要訪問后會(huì)自動(dòng)被吊銷。此外，將連續(xù)檢查和記錄流量，并限制訪問范圍，以防止數(shù)據(jù)在系統(tǒng)和網(wǎng)絡(luò)之間進(jìn)行未經(jīng)授權(quán)的橫向移動(dòng)。

零信任框架使用多種安全技術(shù)來增加對(duì)敏感數(shù)據(jù)和系統(tǒng)的訪問粒度。比如，身份和訪問管理(IAM);基于角色身份的訪問控制(RBAC);網(wǎng)絡(luò)訪問控制(NAC)，多因素身份驗(yàn)證(MFA)，加密，策略執(zhí)行引擎，策略編排，日志記錄，分析以及評(píng)分和文件系統(tǒng)權(quán)限。

同樣重要的是，可以使用技術(shù)標(biāo)準(zhǔn)和協(xié)議來支持零信任方法。云安全聯(lián)盟(CSA)開發(fā)了一種稱為軟件定義邊界(SDP)的安全框架，該框架已應(yīng)用于某些零信任措施?；ヂ?lián)網(wǎng)工程任務(wù)組(IETF)通過批準(zhǔn)主機(jī)標(biāo)識(shí)協(xié)議(HIP)為零信任安全模型做出了貢獻(xiàn)，該協(xié)議代表了OSI堆棧中的新安全網(wǎng)絡(luò)層。在這些進(jìn)步的技術(shù)基礎(chǔ)上，許多供應(yīng)商逐漸將零信任解決方案推向市場。

基于這些技術(shù)、標(biāo)準(zhǔn)和協(xié)議，組織可以使用三種不同的方法來實(shí)現(xiàn)零信任安全：

網(wǎng)絡(luò)微分段，將網(wǎng)絡(luò)刻畫到小的粒度節(jié)點(diǎn)，一直到某個(gè)設(shè)備或應(yīng)用程序。安全協(xié)議和服務(wù)交付模型是為每個(gè)單獨(dú)的細(xì)分市場設(shè)計(jì)的。
SDP，基于一種“需要了解”的策略，即在授予對(duì)應(yīng)用程序基礎(chǔ)結(jié)構(gòu)的訪問權(quán)限之前，先驗(yàn)證設(shè)備的狀態(tài)和身份。
零信任代理，可充當(dāng)客戶端和服務(wù)器之間的中繼，有助于防止攻擊者入侵專用網(wǎng)絡(luò)。

在特定情境中哪種方法最佳，這取決于保護(hù)對(duì)象是哪些應(yīng)用程序，當(dāng)前的基礎(chǔ)架構(gòu)如何，是在未開發(fā)的環(huán)境中還是傳統(tǒng)環(huán)境中進(jìn)行等多種因素。

在IT中采用零信任：構(gòu)建零信任環(huán)境的五個(gè)步驟

建立零信任框架并不一定意味著一定需要完全的技術(shù)轉(zhuǎn)型。通過使用以下這些循序漸進(jìn)的方法，企業(yè)可以以可控的、迭代的方式進(jìn)行，從而幫助獲取最佳效果，同時(shí)對(duì)用戶和操作系統(tǒng)的干擾降到最低。

(1) 界定保護(hù)表面范圍。零信任環(huán)境下，企業(yè)不會(huì)專注于攻擊表面，而只會(huì)專注于保護(hù)表面，專注于對(duì)公司最有價(jià)值的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、資產(chǎn)和服務(wù)(DAAS)。保護(hù)表面比如，信用卡信息，受保護(hù)的健康信息(PHI)，個(gè)人身份信息(PII)，知識(shí)產(chǎn)權(quán)(IP)，應(yīng)用程序(現(xiàn)成的或定制的軟件);SCADA控件，銷售點(diǎn)終端，醫(yī)療設(shè)備，制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS，DHCP和Active Directory等服務(wù)。

一旦界定保護(hù)面后，可以將控件盡可能地移近它，附上限制性的、精確的和可理解的策略聲明，以此創(chuàng)建一個(gè)微邊界(或分隔的微邊界)。

(2) 記錄事務(wù)流量，流量在網(wǎng)絡(luò)中的傳輸方式?jīng)Q定了它的保護(hù)方式。因此，獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息十分重要。記錄特定資源的交互方式有助于適當(dāng)?shù)丶訌?qiáng)控制并提供有價(jià)值的上下文信息，確保最佳的網(wǎng)絡(luò)安全環(huán)境，同時(shí)對(duì)用戶和業(yè)務(wù)運(yùn)營的干擾降到最低。

(3) 構(gòu)建零信任IT網(wǎng)絡(luò)。零信任網(wǎng)絡(luò)完全可以自定義，而不僅是一個(gè)通用的設(shè)計(jì)。而且該體系結(jié)構(gòu)主要圍繞保護(hù)表面構(gòu)建。一旦定義了保護(hù)表面并根據(jù)業(yè)務(wù)需求記錄了流程，就可以從下一代防火墻開始制定零信任架構(gòu)。下一代防火墻充當(dāng)分段網(wǎng)關(guān)，在保護(hù)表面周圍創(chuàng)建一個(gè)微邊界。對(duì)任何嘗試訪問保護(hù)表面內(nèi)的對(duì)象使用分段網(wǎng)關(guān)，可以強(qiáng)制執(zhí)行附加的檢查和訪問控制層，一直到第七層。

(4) 創(chuàng)建零信任安全策略。構(gòu)建網(wǎng)絡(luò)后，將需要?jiǎng)?chuàng)建零信任策略來確定訪問流程。訪問用戶對(duì)象、訪問的應(yīng)用程序、訪問原因、傾向的這些應(yīng)用程序連接方式以及可以使用哪些控件來保護(hù)該訪問，這些問題都要提前了解。使用這種精細(xì)的策略實(shí)施級(jí)別，可以確保僅允許已知的流量或合法的應(yīng)用程序連接。

(5) 監(jiān)視和維護(hù)網(wǎng)絡(luò)。這最后一步，包括檢查內(nèi)部和外部的所有日志，并側(cè)重于零信任的操作方面。由于零信任是一個(gè)反復(fù)的過程，因此檢查和記錄所有流量將大大有益，可提供寶貴的參考，以了解如何隨著時(shí)間的推移改進(jìn)網(wǎng)絡(luò)。

其他注意事項(xiàng)和優(yōu)秀實(shí)踐

對(duì)于考慮采用零信任安全模型的企業(yè)，以下是一些其他的注意事項(xiàng)：

選擇架構(gòu)或技術(shù)之前，確保具有正確的策略。零信任是以數(shù)據(jù)為中心的，因此，重要的是考慮數(shù)據(jù)的位置，需要訪問的人以及可以使用哪種方法來保護(hù)數(shù)據(jù)。Forrester建議將數(shù)據(jù)分為三類——公開，內(nèi)部和機(jī)密，組建帶有微邊界的“數(shù)據(jù)塊”。
從小處著手積累經(jīng)驗(yàn)。為整個(gè)企業(yè)實(shí)施零信任的規(guī)模和范圍可能是巨大的。例如，谷歌花了七年時(shí)間才實(shí)施自己的BeyondCorp項(xiàng)目。
考慮用戶體驗(yàn)。零信任框架不必破壞員工的正常工作流程，即使他們(及其設(shè)備)正受到訪問權(quán)限驗(yàn)證的審查。有些過程在后臺(tái)進(jìn)行，或許用戶根本看不到。
對(duì)用戶和設(shè)備身份驗(yàn)證實(shí)施強(qiáng)有力的措施。零信任的基礎(chǔ)在于，在完全驗(yàn)證為有權(quán)訪問內(nèi)部資源之前，沒有任何人、任何設(shè)備可以信任。因此，基于強(qiáng)身份、嚴(yán)格的身份驗(yàn)證和非持久權(quán)限的企業(yè)范圍IAM系統(tǒng)是零信任框架的關(guān)鍵構(gòu)建塊。
將零信任框架納入數(shù)字化轉(zhuǎn)型項(xiàng)目。重新設(shè)計(jì)工作流程時(shí)，還可以轉(zhuǎn)換安全模型。
當(dāng)下是采用零信任安全模型最好的時(shí)候。技術(shù)已經(jīng)成熟，協(xié)議和標(biāo)準(zhǔn)已經(jīng)確定，對(duì)于新的安全性方法的需求不容忽視。

當(dāng)前文章：建立零信任IT環(huán)境的5個(gè)步驟
瀏覽地址：http://m.fisionsoft.com.cn/article/djohedd.html

新聞中心

其他資訊