零信任安全架构应怎样落地?
发布时间:2022-04-01 10:53:26 所属栏目:安全 来源:互联网
导读:过去,我们认为企业如同一座被城墙(防火墙)、护城河(DMZ)和吊桥(访问控制)层层防护起来的坚固城池,但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下,零信任理念已经逐渐成为解决网络安全问题的重要
|
过去,我们认为企业如同一座被城墙(防火墙)、护城河(DMZ)和吊桥(访问控制)层层防护起来的坚固城池,但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下,零信任理念已经逐渐成为解决网络安全问题的重要推手。 iSMG最近发布的《2022年零信任策略报告》显示:绝大多数受访者都表示零信任对于降低网络安全风险至关重要;近一半(46%)的受访者表示零信任是2022年最重要的安全实践。此外,Forrester的另一项面向300余家大型企业的调查报告也显示:78%的安全高管均计划在今年增加对零信任的使用力度。 尽管零信任是大多数网络安全团队的首选,但其实际落地却不尽乐观。在Forrester所调查的企业中,能够全面部署零信任的企业所占比例仅为6%;另有30%的受访者表示只是在企业局部部署了零信任;还有63%的受访者表示,其企业内部对零信任项目现仍于评估、规划或试点阶段。 2021年5月,美国政府在改善国家网络安全的行政令中要求政府机构要采用零信任方案,政令发布后,美国行政管理和预算办公室(英文简称:OMB)随即发布了如何推进零信任架构落地的战略方案,此外,接二连三,CISA在去年秋季发布了《零信任成熟度模型》、NIST发布了白皮书《零信任架构规划》,其中,《零信任架构规划》阐述了如何利用网络安全框架(CSF)和NIST风险管理框架(RMF,SP800–37)来助力企业顺利迁移升级为零信任架构。 以下是上述国外应对零信任架构实际落地的五个优秀实践总结,供读者了解、参考: 1. 明了需要保护哪些层面 安全风险评估应从攻击者角度出发。例如,企业安全团队最常关注的潜在攻击面有: 安全边界在哪? 外部人员将会如何闯入? 有什么潜在的方法可以闯入? NIST的《零信任架构规划》给出的建议是,建立安全防护需要先从数据和应用程序出发,应先分析价最高、风险最大的数据信息和资产。因为保护面比攻击面的范围和边界要小得多。 当在零信任架构中,找不到任何需要保护的边界时,企业可以在资产周围设置“微边界”,通过微边界,企业用户可以全面的了解和控制,何人在何地、何时,通过何种手段进行了访问。 因此,企业可以根据业务的重要等级,来确定受保护对象的重要性和优先级。先确定最关键的应用程序,然后再确定次重要的。层层递减,如此便可实现对所有应用程序的等级保护。 2. 构建新边界:微隔离 NIST在《零信任架构》中表示,与传统防护手段相同,零信任理念保证数据中心安全的前提也是确保网络环境和周边环境安全。但差别在于如何在数据中心创建“微边界”(micro-boundary),零信任要求只有通过审核标准的流量才能通过。 因此在构建零信任架构时,网段和边界相比传统模式会变得更小。因此,微隔离策略应与现有的网络架构相脱离,并要具被灵活的扩展功能。 此外,在部署零信任架构时,允许访问的列表要基于策略,而不是基于IP地址。这项工作十分繁重,传统通过人工的方式无法解决,而零信任网络访问解决方案则使用机器学习(ML) 或人工智能(AI)来了解流量模式和访问逻辑,以帮助企业创建自动访问策略。 3 缩小攻击面 尽力缩小攻击面是减少风险暴露、降低安全事件发生的关键。 在企业内部,零信任理念的微隔离方法在提供了安全连接授权资源的便利的同时,也确保了任何身份未经授权的资产都是不可见、不可访问的。这减少了横向移动,进一步降低了内部威胁。 此外,我们也可以在企业外部运用零信任理念,以防范外部网络威胁和攻击。比如,移动办公的员工经常面临网络钓鱼攻击。要减少诸如此类的攻击面,我们只需做好这几项工作:主动了解数字足迹(如上所述)、监控通讯渠道以寻找攻击指标(最好结合威胁情报),以及迅速应对已识别的威胁(包括打补丁)。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐