零信任架构并不是一个新概念,随着美国政府在今年早些时候发布的行政命令,网络领域的许多企业开始询问网络可见性分析如何适应这一趋势。要回答这个问题,首先需要看看是什么推动了这种转变。
这个行政命令的第三节指出,行业机构(以及与他们的合作伙伴)必须采用安全最佳实践,向零信任架构迈进,并加速移动以保护SaaS、IaaS和PaaS等云服务。它呼吁政府机构更新现有计划,优先考虑采用云计算技术的资源,并制定实施零信任架构的计划(使用NIST的迁移步骤)。它还呼吁美国网络安全和基础设施安全局(CISA)进行现代化改造,以通过零信任架构在云计算环境中充分发挥作用,并呼吁美国联邦风险和授权管理计划(FedRAMP)制定管理云服务提供商的安全原则,以纳入各机构的现代化工作。
由于供应商对于零信任架构是什么而感到困惑,以下探讨它对网络可见性和要求的影响。
美国国家标准与技术研究院(NIST)指出,“零信任是一组不断发展的网络安全范式的术语,它将防御从静态的、基于网络的边界转移到专注于用户、资产和资源。零信任架构使用零信任原则来规划工业和企业基础设施和工作流程。”这种方法采用的基本NIST原则包括:
- 企业专用网络不被视为隐藏的信任区域。
- 网络上的设备可能不属于企业所有或不可配置。
- 没有一种资源是固有可信的。
- 并非所有企业资源都位于企业拥有的基础设施上。
- 远程企业主体和资产无法完全信任其本地网络连接。
- 在企业和非企业基础设施之间移动的资产和工作流应该具有一致的安全策略和状态。
但是零信任架构与网络可见性或网络性能监控(NPM)有何关联?
零信任架构有三种NIST架构方法具有网络可见性影响:第一种是使用增强的身份治理,这意味着使用用户身份仅允许在经过验证后访问特定资源。第二种是使用微分段,例如在划分云计算或数据中心资产或工作负载时,将流量与其他流量分开以包含但也防止横向移动。第三种是使用网络基础设施和软件定义的边界,例如零信任网络访问(ZTNA),例如允许远程工作人员仅连接到特定资源。
NIST还描述了对零信任架构部署的监控。概述网络性能监控将需要安全功能以实现可见性。这包括应该检查和记录网络上的流量(并分析以识别和达到潜在的攻击),包括资产日志、网络流量和资源访问操作。
此外,NIST对无法访问所有相关和加密的流量表示担忧——这些流量可能来自不是企业拥有的资产(例如使用企业基础设施访问互联网的服务)或应用程序和服务。无法执行深度数据包检查或检查加密流量的企业必须使用其他方法来评估网络上可能的网络攻击者。
美国国防部将零信任架构分解为七个信任支柱:用户、设备、网络/环境、应用程序和工作负载、数据、可见性和分析,以及自动化和编排。毫不奇怪,节点包管理器(NPM)与可见性和分析支柱直接相关。以下是NPM融入零信任架构的四种方式:
- NPM可以提供场景详细信息以及对跨其他支柱(包括应用程序和用户)的性能、行为和活动的理解。例如,监控网络各个部分的应用程序性能或指向安全问题,如拒绝服务或受损网络设备。NPM还可以针对来自各种用户设备的应用程序的流量模式提供用户行为分析。
- NPM改进了对异常行为的检测,并使利益相关者能够对安全策略和实时访问决策进行动态更改。例如,利用网络AIOps查找站点内和站点间的异常行为。如果大量流量表明存在某种类型的数据泄露,则可以发出警报并调整安全策略。另一个例子是使用VXLAN的微分段网络,并具有各种虚拟网络的可见性,其中包括每个VXLAN内的流量。人们了解正确的安全策略是否有效很重要。