什么是零信任模型？

零信任安全模型的目標是通過強制執(zhí)行“從不信任，始終驗證”方法來保護企業(yè)網(wǎng)絡(luò)免受訪問威脅。您可以通過確保您的網(wǎng)絡(luò)默認不信任任何設(shè)備或用戶來實現(xiàn)零信任安全。這意味著您的網(wǎng)絡(luò)不應(yīng)該信任任何實體，即使它之前已經(jīng)過驗證。

零信任模型對于現(xiàn)代企業(yè)環(huán)境和復(fù)雜的企業(yè)網(wǎng)絡(luò)特別有價值。這些環(huán)境通常由眾多互連的部分、移動和遠程連接、基于云的基礎(chǔ)設(shè)施和服務(wù)以及物聯(lián)網(wǎng) (IoT) 設(shè)備組成。

零信任安全提供了各種控制措施，可用于加強現(xiàn)代企業(yè)環(huán)境的安全性，包括相互身份驗證技術(shù)：

無論位置如何，都可以驗證設(shè)備的完整性和身份。

除了用戶身份驗證和授權(quán)之外，還根據(jù)設(shè)備運行狀況和身份信任級別提供對服務(wù)和應(yīng)用程序的訪問。

零信任模型的優(yōu)缺點

以下是零信任模型的一些優(yōu)點：

減少攻擊面——一旦建立，零信任模型提供比隱式信任方法更好的安全性，特別是在防止網(wǎng)絡(luò)內(nèi)橫向威脅方面。

強大的用戶識別和訪問策略——在零信任的情況下，您應(yīng)該嚴格管理網(wǎng)絡(luò)內(nèi)的用戶以保護他們的帳戶。使用多因素身份驗證或生物識別技術(shù)來確保所有帳戶都得到很好的保護。將用戶分組到角色中，授予他們在工作任務(wù)需要時訪問數(shù)據(jù)和帳戶的權(quán)限。

數(shù)據(jù)的智能分段——在零信任模型中，您應(yīng)該根據(jù)敏感性、類型和用途對數(shù)據(jù)進行分段。這種方法提供了一種比所有用戶都可以訪問的中央數(shù)據(jù)池更安全的設(shè)置。使用零信任方法，敏感或關(guān)鍵數(shù)據(jù)是安全的，并且您可以減少潛在的攻擊面。

增強的數(shù)據(jù)保護——零信任保護存儲和傳輸中的數(shù)據(jù)，這意味著自動備份和散列或加密的消息傳輸。

安全編排——此任務(wù)涉及確保所有安全元素協(xié)同工作。在一個成功的零信任模型中，沒有任何漏洞未被發(fā)現(xiàn)，并且您的安全方法的組合元素可以很好地協(xié)同工作并且不會出現(xiàn)不一致。

以下是與零信任策略相關(guān)的一些挑戰(zhàn)：

設(shè)置時間和精力增加— 當您建立零信任方法時，您需要在現(xiàn)有網(wǎng)絡(luò)中重新組織策略。此過程可能具有挑戰(zhàn)性，因為您的網(wǎng)絡(luò)需要在向零信任過渡期間正常運行。有時建立一個新的網(wǎng)絡(luò)更簡單。如果您的舊系統(tǒng)與零信任框架不兼容，您將需要從頭開始構(gòu)建網(wǎng)絡(luò)。

增加用戶管理工作——您需要使用零信任方法更密切地監(jiān)控用戶，僅在需要時授予他們訪問數(shù)據(jù)的權(quán)限。用戶還可以包括員工、客戶、客戶和第三方供應(yīng)商，這意味著有各種各樣的接入點。使用零信任框架，組織必須為每個組維護特定的策略。

需要管理的設(shè)備更多——您不僅需要監(jiān)控用戶，還必須監(jiān)控他們的設(shè)備。每個設(shè)備可能具有特定的屬性和通信協(xié)議，必須根據(jù)其類型對其進行保護和監(jiān)控。

復(fù)雜的應(yīng)用程序管理——現(xiàn)代組織使用數(shù)百個應(yīng)用程序。它們可以是基于云的，用戶可以跨多個平臺和設(shè)備訪問它們。組織還與第三方共享它們。為了與零信任方法保持一致，您必須根據(jù)安全要求和用戶需求定制、規(guī)劃和監(jiān)控每個應(yīng)用程序。

更嚴格的數(shù)據(jù)安全性——數(shù)據(jù)通常存儲在多個位置，這意味著通常需要保護多個站點。您需要根據(jù)最高安全標準設(shè)置和執(zhí)行數(shù)據(jù)安全策略。

幸運的是，新技術(shù)正在不斷發(fā)展，有助于應(yīng)對其中的許多挑戰(zhàn)。在早期，您必須從頭開始構(gòu)建零信任實現(xiàn)。今天，零信任遠不是一種商品，但已經(jīng)有成熟的專用解決方案可以幫助您設(shè)置零信任堆棧的重要部分。讓我們回顧一下最重要的。

零信任技術(shù)

微分段

微分段是零信任的基礎(chǔ)技術(shù)。它使您能夠?qū)⒕W(wǎng)絡(luò)拆分為邏輯的、安全的單元。此技術(shù)允許您定義和應(yīng)用策略，以控制網(wǎng)絡(luò)的每個分段區(qū)域內(nèi)的數(shù)據(jù)和應(yīng)用程序訪問和使用。

微分段旨在限制允許從一個分段遍歷到另一分段的流量。這種類型的限制限制了整個網(wǎng)絡(luò)的橫向移動，從而最大限度地減少了攻擊面。您可以將網(wǎng)絡(luò)微分段應(yīng)用于數(shù)據(jù)中心以及云環(huán)境。在零信任環(huán)境中，所有其他組件都集成了微分段功能，或者它們本身提供了微分段功能，以在每個有價值的資產(chǎn)周圍創(chuàng)建一個安全的微邊界。

安全訪問服務(wù)邊緣 (SASE)

SASE 是一種云架構(gòu)模型，它將廣域網(wǎng) (WAN) 功能與安全即服務(wù)功能統(tǒng)一到一個集中式服務(wù)中。組織可以使用 SASE 將所有安全和網(wǎng)絡(luò)工具集中到一個管理控制臺中。

以下是 SASE 的主要優(yōu)勢：

集中您的網(wǎng)絡(luò)和安全工具。

提供獨立于用戶和資源位置的訪問。

提供可擴展且具有成本效益的遠程訪問解決方案，可有效處理安全和網(wǎng)絡(luò)責任。

擴展檢測和響應(yīng) (XDR)

XDR 工具提供基于 SaaS 的事件響應(yīng)和威脅檢測功能。XDR 工具將多個安全產(chǎn)品集成到一個集中的安全操作系統(tǒng)中。有以供應(yīng)商為中心的 XDR 工具，可在一個許可證下提供多個集成組件，而開放式 XDR 工具則專注于數(shù)據(jù)存儲和分析，與現(xiàn)有的安全工具集成。

以下是 XDR 的主要優(yōu)勢：

集中您的事件檢測和響應(yīng)能力。

提供整個技術(shù)環(huán)境中威脅的整體和簡化視圖。

提供實時威脅洞察，可以提高事件補救的速度和效率。

利用人工智能 (AI) 檢測跨越安全孤島和邊界的規(guī)避威脅。

MITRE ATT&CK 框架

MITRE 是一個非營利組織，提供有關(guān)網(wǎng)絡(luò)威脅的信息，以幫助解決網(wǎng)絡(luò)防御問題。作為他們努力的一部分，MITRE 提供對抗性戰(zhàn)術(shù)、技術(shù)和常識 (ATT&CK) 框架作為免費且全球可訪問的知識庫。

MITRE ATT&CK 框架提供了有關(guān)對手戰(zhàn)術(shù)和技術(shù)的最新信息。它基于現(xiàn)實生活中的觀察和不斷發(fā)展的戰(zhàn)術(shù)、技術(shù)和矩陣知識庫。組織可以利用該框架來加強其網(wǎng)絡(luò)安全戰(zhàn)略。

ATT&CK 本身并不是零信任技術(shù)。然而，在零信任環(huán)境中，威脅情報是智能驗證和監(jiān)控用戶連接的關(guān)鍵。這種全面的策略、技術(shù)和程序 (TTP) 集合可以幫助安全系統(tǒng)識別系統(tǒng)中存在的威脅，并通過加強網(wǎng)絡(luò)分段和撤銷訪問來自動響應(yīng)。

下一代防火墻 (NGFW)

NGFW 是第三代防火墻技術(shù)，您可以將其作為軟件或硬件來實施。此防火墻在多個級別（包括端口、協(xié)議和應(yīng)用程序）實施安全策略，以檢測和阻止復(fù)雜的攻擊。

以下是 NGFW 技術(shù)的顯著功能：

橋接和路由模式

應(yīng)用控制

身份意識，包括組和用戶控制

集成入侵防御系統(tǒng) (IPS)

與外部情報來源整合

NGFW 技術(shù)的獨特之處在于它可以了解通過防火墻的不同類型的 Web 應(yīng)用程序流量。它使用此信息來阻止可能利用漏洞的流量。由于其應(yīng)用程序感知、先進的檢測能力以及與網(wǎng)絡(luò)分段的緊密集成，它在零信任設(shè)置中至關(guān)重要。

身份和訪問管理 (IAM)

IAM 提供有助于管理數(shù)字和電子身份的技術(shù)、流程和策略。在零信任設(shè)置中，組織使用 IAM 來控制用戶對所有內(nèi)容的訪問 - 無論是在他們的公司網(wǎng)絡(luò)內(nèi)、在云環(huán)境中還是在其他地方。

以下是 IAM 的顯著功能，可以為零信任提供安全的分布式訪問：

單點登錄 (SSO) 和聯(lián)合身份

特權(quán)訪問管理 (PAM)

多重身份驗證 (MFA)

IAM 技術(shù)還使您能夠安全地存儲配置文件和身份數(shù)據(jù)。此外，許多工具提供數(shù)據(jù)治理功能來幫助控制用戶可以訪問和共享哪些數(shù)據(jù)，從而為零信任模型增加了另一層保護。

結(jié)論

在本文中，我解釋了零信任的基礎(chǔ)知識，并介紹了一系列可以幫助您實現(xiàn)零信任的成熟技術(shù)：

微分段- 啟用網(wǎng)段的動態(tài)隔離以保護受保護的資源。

安全訪問服務(wù)邊緣 (SASE)– 提供廣域網(wǎng) (WAN) 作為托管服務(wù)，內(nèi)置安全功能。

擴展檢測和響應(yīng) (XDR)– 集中安全數(shù)據(jù)和工具，支持從一個界面進行安全分析、自動和手動響應(yīng)。

MITRE ATT&CK 框架——提供威脅情報，可以幫助檢測先前驗證的實體的惡意活動。

下一代防火墻 (NGFW)– 在應(yīng)用層分析和阻止惡意流量并實施微分段規(guī)則。

身份和訪問管理 (IAM)– 支持對混合環(huán)境中的用戶訪問和權(quán)限進行細粒度控制。

零信任實施遠非易事。但是我們已經(jīng)過去了基于手動網(wǎng)絡(luò)分段和臨時授權(quán)方案的自助式工作的早期階段。SASE、NGFW 和 IAM 等組件是新的構(gòu)建塊，它們使零信任安全的實踐更易于管理、更有效并且不那么不堪重負。

我希望這將有助于您在混合組織中實現(xiàn)完全零信任。

審核編輯 黃昊宇