网络安全对于保护组织免受有害且代价高昂的网络攻击至关重要。考虑到这一当务之急,越来越多的组织正在寻求实施零信任架构,以确保网络攻击更难被破坏,然后在企业的基础设施中传播。
在这篇深入的文章中,我们将全面概述零信任架构。我们的五步指南将总结所涉及的流程,包括针对潜在实施障碍的最佳实践和简短的常见问题解答。
什么是零信任以及其重要性?
零信任是指一种网络安全理念,它从“假设违规”的原则出发,采用“最小特权”的方式授予访问权限。从最纯粹的意义上讲,这需要在允许交互继续进行之前验证一组资源(人员、工作负载、网络、数据和设备)之间每次交互的上下文。
如今,许多组织越来越多地混合并分散在云、本地和端点环境中。这种网络扩展导致了更多可以被黑客攻击的漏洞,更不用说内部数据泄露的增加了。
为了应对漏洞的增加,需要更好的访问控制,这就是采用零信任方法变得相关的地方。
零信任最佳实践
实施零信任架构并不总是那么简单。然而,流程和技术的进步正在帮助简化工作。借助当今的新技术,真正的零信任现在是组织实施的实用选择。在尝试实施零信任之前要考虑的最佳实践包括:
- 在网络内的所有接入点上应用多因素身份验证。
- 确保所有连接的设备都定期更新和维护良好。
- 进行定期和彻底的监控,以确保严格的访问控制流程。
- 限制对网络中各个组件的访问以改进管理。
毫不奇怪,金融机构和银行,以及谷歌和微软等领先组织,使用零信任网络架构,并摆脱了传统的基于边界的安全性。全球越来越多的组织纷纷效仿以保护他们的数据。
实施零信任的五个步骤
了解了好处和挑战之后,是时候考虑设计和实施零信任策略来阻止网络攻击的传播了。这可以分为五个步骤,以帮助简化流程。
1. 创建策略
在细分您的零信任策略之前,创建定义它的策略很重要。每个问题都需要就如何使用网络、谁在使用它、他们如何使用它、在哪里等方面提出问题。这将帮助组织内的个人了解新的流程和系统,避免混淆。
2. 确定网络的攻击面
攻击面是指混合网络上可以被“威胁参与者”攻击的漏洞数量。网络犯罪分子或网络团伙可以发起一系列不同的攻击,这些攻击可以在您的网络上建立未经授权的远程连接,从而允许他们访问您的数字基础设施中的关键资源和数据。
映射网络的攻击面可让您确定保护工作的优先级。根据 Forrester 的零信任模型,需要保护五个资产支柱:
人员:用户只能访问他们在您的网络中和跨网络有权访问的内容。
网络:隔离、分段和保护网络。
设备:保护连接到网络的设备。
工作负载:保护您用于运营业务的应用程序和工作负载。
数据:隔离、加密和控制数据。
2.定义访问控制和权限
必须为每个用户或用户类型建立访问和许可级别。零信任策略根据上下文验证访问,包括用户身份、设备、位置、内容类型和被请求的应用程序。策略是自适应的,因此用户访问权限会随着上下文的变化不断地重新评估。
3. 选择正确的零信任解决方案
每个网络都是不同的。一个解决方案可能对一个组织有效,而对另一个组织实际上毫无用处。
Forrester 建议将微分段作为主要的零信任安全控制。分段会将您的混合基础架构分成不同的区域,从而帮助您确定每个区域需要哪些安全协议。
4. 进行持续监控
实施零信任只是一个开始,如果要有效,您必须不断监控网络上的活动以识别弱点并优化安全系统的整体性能。
定期报告可以帮助发现网络上的异常行为,并评估额外措施是否影响了企业内的绩效水平。您的报告将使用一系列分析,这些分析可以为网络和用户操作的几乎任何方面提供有价值的见解。
此外,还可以使用机器学习等先进技术分析查看记录网络活动的日志。结合起来,这些数据可以帮助您适应和改进您的零信任网络,帮助您进行必要的更改以防止新的和更复杂的网络攻击。
实施零信任的挑战
组织通常需要克服三个关键挑战才能成功实施零信任安全。
保护物理和基于云的基础架构
对于希望建立零信任架构的组织来说,一个主要挑战是现有网络的复杂构成。大多数网络由新旧硬件和软件、物理设备和基于云的基础设施组成。基础设施可以包括基于云的服务器、物理服务器、数据库、代理、内部应用程序和软件、VPN、软件即服务 (SaaS) 等。
使用传统方法将每个接入点保护到零信任级别可能非常困难,即使对于经验丰富的工程师也是如此。Illumio 等现代零信任技术可以帮助自动化和简化流程。
对软件升级和更改的需求
零信任网络需要分段技术,以便轻松构建有效策略,然后随着组织数字基础设施的发展对其进行更新。
如果没有统一的通信流量视图和分段策略的集中管理,组织将难以在当今的分布式和虚拟混合网络中协调零信任分段。
零信任架构需要灵活的工具,例如微分段平台、身份感知代理和软件定义边界 (SDP) 软件。
计划旅行
转向零信任安全模型是一项需要时间和学习的承诺。网络规划,包括决定组织各个方面的权限和访问级别,似乎令人生畏,尤其是在运行云服务与本地数据中心的混合网络中。
将零信任理解为旅程而非目的地很重要。它不需要一个完整的计划;它可以分解为多个小步骤,随着时间的推移得到解决。这允许组织开始保护他们最关键的业务漏洞,而不是在实施任何安全实践之前等待完整的计划。
零信任:常见问题 (FAQ)
以下是与零信任架构相关的常见问题解答。
如何选择零信任提供商?
您选择的任何零信任提供商都必须符合最高安全标准,例如 ISO 27001 认证和 SOC2 安全要求。
其他需要考虑的因素:
- 供应商擅长哪些技术?
- 该平台能否扩展以有效分割全球网络?
- 该平台对中小型公司是否具有成本效益?
- 该平台能否同时细分云环境和本地环境?
- 供应商是否提供端点管理?
- 该平台能否提供通信路径和分段区域的统一视图?
- 系统是否识别异常行为?
- 该平台能否支持较旧的应用程序和设备?
- 提供的支持水平如何?
零信任会取代 VPN 吗?
不。VPN 仍然提供了一种有效的工具来保护来自远程端点设备的某些类型的流量。零信任分段提供高度互补的安全性,以确保 VPN 之外的所有区域都得到很好的保护,从而有助于提高网络安全性。
零信任如何与访客访问一起使用?
零信任需要来自网络上所有用户和设备的多因素身份验证。客人需要像员工一样进行验证,不得有任何例外。
实施零信任需要多长时间?
设计和实施零信任网络的时间完全取决于其复杂性和网络的规模。流程的规划和评估阶段——以及拥有正确的工具和技术——对于减少项目的整体实施时间至关重要。
零信任迈出下一步
零信任安全对于保护当今的混合 IT 环境免受日益增长的网络威胁至关重要。如果没有零信任安全提供的保护,组织将面临勒索软件和数据盗窃的巨大风险——这些事件可能会对任何组织造成巨大损害。
实现零信任安全需要全面努力,但零信任分段对于使零信任安全对几乎任何组织都实用和可扩展至关重要。