什么是零信任模型？

零信任安全模型的目標是通過強制執(zhí)行“從不信任，始終驗證”方法來保護企業(yè)網(wǎng)絡免受訪問威脅。您可以通過確保您的網(wǎng)絡默認不信任任何設備或用戶來實現(xiàn)零信任安全。這意味著您的網(wǎng)絡不應該信任任何實體，即使它之前已經(jīng)過驗證。

零信任模型對于現(xiàn)代企業(yè)環(huán)境和復雜的企業(yè)網(wǎng)絡特別有價值。這些環(huán)境通常由眾多互連的部分、移動和遠程連接、基于云的基礎設施和服務以及物聯(lián)網(wǎng) (IoT) 設備組成。

零信任安全提供了各種控制措施，可用于加強現(xiàn)代企業(yè)環(huán)境的安全性，包括相互身份驗證技術：

無論位置如何，都可以驗證設備的完整性和身份。

除了用戶身份驗證和授權之外，還根據(jù)設備運行狀況和身份信任級別提供對服務和應用程序的訪問。

零信任模型的優(yōu)缺點

以下是零信任模型的一些優(yōu)點：

減少攻擊面——一旦建立，零信任模型提供比隱式信任方法更好的安全性，特別是在防止網(wǎng)絡內(nèi)橫向威脅方面。

強大的用戶識別和訪問策略——在零信任的情況下，您應該嚴格管理網(wǎng)絡內(nèi)的用戶以保護他們的帳戶。使用多因素身份驗證或生物識別技術來確保所有帳戶都得到很好的保護。將用戶分組到角色中，授予他們在工作任務需要時訪問數(shù)據(jù)和帳戶的權限。

數(shù)據(jù)的智能分段——在零信任模型中，您應該根據(jù)敏感性、類型和用途對數(shù)據(jù)進行分段。這種方法提供了一種比所有用戶都可以訪問的中央數(shù)據(jù)池更安全的設置。使用零信任方法，敏感或關鍵數(shù)據(jù)是安全的，并且您可以減少潛在的攻擊面。

增強的數(shù)據(jù)保護——零信任保護存儲和傳輸中的數(shù)據(jù)，這意味著自動備份和散列或加密的消息傳輸。

安全編排——此任務涉及確保所有安全元素協(xié)同工作。在一個成功的零信任模型中，沒有任何漏洞未被發(fā)現(xiàn)，并且您的安全方法的組合元素可以很好地協(xié)同工作并且不會出現(xiàn)不一致。

以下是與零信任策略相關的一些挑戰(zhàn)：

設置時間和精力增加— 當您建立零信任方法時，您需要在現(xiàn)有網(wǎng)絡中重新組織策略。此過程可能具有挑戰(zhàn)性，因為您的網(wǎng)絡需要在向零信任過渡期間正常運行。有時建立一個新的網(wǎng)絡更簡單。如果您的舊系統(tǒng)與零信任框架不兼容，您將需要從頭開始構建網(wǎng)絡。

增加用戶管理工作——您需要使用零信任方法更密切地監(jiān)控用戶，僅在需要時授予他們訪問數(shù)據(jù)的權限。用戶還可以包括員工、客戶、客戶和第三方供應商，這意味著有各種各樣的接入點。使用零信任框架，組織必須為每個組維護特定的策略。

需要管理的設備更多——您不僅需要監(jiān)控用戶，還必須監(jiān)控他們的設備。每個設備可能具有特定的屬性和通信協(xié)議，必須根據(jù)其類型對其進行保護和監(jiān)控。

復雜的應用程序管理——現(xiàn)代組織使用數(shù)百個應用程序。它們可以是基于云的，用戶可以跨多個平臺和設備訪問它們。組織還與第三方共享它們。為了與零信任方法保持一致，您必須根據(jù)安全要求和用戶需求定制、規(guī)劃和監(jiān)控每個應用程序。

更嚴格的數(shù)據(jù)安全性——數(shù)據(jù)通常存儲在多個位置，這意味著通常需要保護多個站點。您需要根據(jù)最高安全標準設置和執(zhí)行數(shù)據(jù)安全策略。

幸運的是，新技術正在不斷發(fā)展，有助于應對其中的許多挑戰(zhàn)。在早期，您必須從頭開始構建零信任實現(xiàn)。今天，零信任遠不是一種商品，但已經(jīng)有成熟的專用解決方案可以幫助您設置零信任堆棧的重要部分。讓我們回顧一下最重要的。

零信任技術

微分段

微分段是零信任的基礎技術。它使您能夠?qū)⒕W(wǎng)絡拆分為邏輯的、安全的單元。此技術允許您定義和應用策略，以控制網(wǎng)絡的每個分段區(qū)域內(nèi)的數(shù)據(jù)和應用程序訪問和使用。

微分段旨在限制允許從一個分段遍歷到另一分段的流量。這種類型的限制限制了整個網(wǎng)絡的橫向移動，從而最大限度地減少了攻擊面。您可以將網(wǎng)絡微分段應用于數(shù)據(jù)中心以及云環(huán)境。在零信任環(huán)境中，所有其他組件都集成了微分段功能，或者它們本身提供了微分段功能，以在每個有價值的資產(chǎn)周圍創(chuàng)建一個安全的微邊界。

安全訪問服務邊緣 (SASE)

SASE 是一種云架構模型，它將廣域網(wǎng) (WAN) 功能與安全即服務功能統(tǒng)一到一個集中式服務中。組織可以使用 SASE 將所有安全和網(wǎng)絡工具集中到一個管理控制臺中。

以下是 SASE 的主要優(yōu)勢：

集中您的網(wǎng)絡和安全工具。

提供獨立于用戶和資源位置的訪問。

提供可擴展且具有成本效益的遠程訪問解決方案，可有效處理安全和網(wǎng)絡責任。

擴展檢測和響應 (XDR)

XDR 工具提供基于 SaaS 的事件響應和威脅檢測功能。XDR 工具將多個安全產(chǎn)品集成到一個集中的安全操作系統(tǒng)中。有以供應商為中心的 XDR 工具，可在一個許可證下提供多個集成組件，而開放式 XDR 工具則專注于數(shù)據(jù)存儲和分析，與現(xiàn)有的安全工具集成。

以下是 XDR 的主要優(yōu)勢：

集中您的事件檢測和響應能力。

提供整個技術環(huán)境中威脅的整體和簡化視圖。

提供實時威脅洞察，可以提高事件補救的速度和效率。

利用人工智能 (AI) 檢測跨越安全孤島和邊界的規(guī)避威脅。

MITRE ATT&CK 框架

MITRE 是一個非營利組織，提供有關網(wǎng)絡威脅的信息，以幫助解決網(wǎng)絡防御問題。作為他們努力的一部分，MITRE 提供對抗性戰(zhàn)術、技術和常識 (ATT&CK) 框架作為免費且全球可訪問的知識庫。

MITRE ATT&CK 框架提供了有關對手戰(zhàn)術和技術的最新信息。它基于現(xiàn)實生活中的觀察和不斷發(fā)展的戰(zhàn)術、技術和矩陣知識庫。組織可以利用該框架來加強其網(wǎng)絡安全戰(zhàn)略。

ATT&CK 本身并不是零信任技術。然而，在零信任環(huán)境中，威脅情報是智能驗證和監(jiān)控用戶連接的關鍵。這種全面的策略、技術和程序 (TTP) 集合可以幫助安全系統(tǒng)識別系統(tǒng)中存在的威脅，并通過加強網(wǎng)絡分段和撤銷訪問來自動響應。

下一代防火墻 (NGFW)

NGFW 是第三代防火墻技術，您可以將其作為軟件或硬件來實施。此防火墻在多個級別（包括端口、協(xié)議和應用程序）實施安全策略，以檢測和阻止復雜的攻擊。

以下是 NGFW 技術的顯著功能：

橋接和路由模式

應用控制

身份意識，包括組和用戶控制

集成入侵防御系統(tǒng) (IPS)

與外部情報來源整合

NGFW 技術的獨特之處在于它可以了解通過防火墻的不同類型的 Web 應用程序流量。它使用此信息來阻止可能利用漏洞的流量。由于其應用程序感知、先進的檢測能力以及與網(wǎng)絡分段的緊密集成，它在零信任設置中至關重要。

身份和訪問管理 (IAM)

IAM 提供有助于管理數(shù)字和電子身份的技術、流程和策略。在零信任設置中，組織使用 IAM 來控制用戶對所有內(nèi)容的訪問 - 無論是在他們的公司網(wǎng)絡內(nèi)、在云環(huán)境中還是在其他地方。

以下是 IAM 的顯著功能，可以為零信任提供安全的分布式訪問：

單點登錄 (SSO) 和聯(lián)合身份

特權訪問管理 (PAM)

多重身份驗證 (MFA)

IAM 技術還使您能夠安全地存儲配置文件和身份數(shù)據(jù)。此外，許多工具提供數(shù)據(jù)治理功能來幫助控制用戶可以訪問和共享哪些數(shù)據(jù)，從而為零信任模型增加了另一層保護。

結(jié)論

在本文中，我解釋了零信任的基礎知識，并介紹了一系列可以幫助您實現(xiàn)零信任的成熟技術：

微分段- 啟用網(wǎng)段的動態(tài)隔離以保護受保護的資源。

安全訪問服務邊緣 (SASE)– 提供廣域網(wǎng) (WAN) 作為托管服務，內(nèi)置安全功能。

擴展檢測和響應 (XDR)– 集中安全數(shù)據(jù)和工具，支持從一個界面進行安全分析、自動和手動響應。

MITRE ATT&CK 框架——提供威脅情報，可以幫助檢測先前驗證的實體的惡意活動。

下一代防火墻 (NGFW)– 在應用層分析和阻止惡意流量并實施微分段規(guī)則。

身份和訪問管理 (IAM)– 支持對混合環(huán)境中的用戶訪問和權限進行細粒度控制。

零信任實施遠非易事。但是我們已經(jīng)過去了基于手動網(wǎng)絡分段和臨時授權方案的自助式工作的早期階段。SASE、NGFW 和 IAM 等組件是新的構建塊，它們使零信任安全的實踐更易于管理、更有效并且不那么不堪重負。

我希望這將有助于您在混合組織中實現(xiàn)完全零信任。

審核編輯 黃昊宇