2024-01-24 分類(lèi): 網(wǎng)站建設(shè)
零信任是一種滿(mǎn)足現(xiàn)代工作環(huán)境復(fù)雜安全需求的安全策略。這種安全設(shè)置非常適合保護(hù)依賴(lài)云計(jì)算、遠(yuǎn)程員工和分布式系統(tǒng)的公司。本文介紹了您需要了解的有關(guān)零信任安全模型的所有信息。我們解釋了零信任的工作原理、它帶來(lái)的好處以及為什么這種安全策略是保護(hù)現(xiàn)代企業(yè)的最有效方式。
什么是零信任模型?零信任是一種安全策略,公司不會(huì)自動(dòng)信任網(wǎng)絡(luò)邊界內(nèi)外的任何內(nèi)容。相反,系統(tǒng)會(huì)在授予訪問(wèn)權(quán)限之前驗(yàn)證每個(gè)用戶(hù)和設(shè)備。
零信任方法使企業(yè)能夠:
徹底檢查每個(gè)訪問(wèn)請(qǐng)求。 保護(hù)數(shù)據(jù)、應(yīng)用程序和網(wǎng)絡(luò)免受外部和內(nèi)部危險(xiǎn)。 在分布式系統(tǒng)中安全運(yùn)行并茁壯成長(zhǎng)。 建立掃描和響應(yīng)威脅的自動(dòng)循環(huán)。 輕松遵守 FISMA、HIPAA、PCI、GDPR、CCPA 以及類(lèi)似的數(shù)據(jù)隱私和安全法律。零信任的目標(biāo)是保護(hù)公司免受高級(jí)網(wǎng)絡(luò)安全威脅和數(shù)據(jù)泄露。對(duì)每個(gè)設(shè)備、用戶(hù)和應(yīng)用程序的信任持續(xù)驗(yàn)證使公司能夠停止:
?針對(duì)客戶(hù)和員工的網(wǎng)絡(luò)釣魚(yú)攻擊。 通過(guò)網(wǎng)絡(luò)橫向移動(dòng)。 黑客使用被盜的用戶(hù)密碼和應(yīng)用程??序數(shù)據(jù)庫(kù)憑據(jù)。 通過(guò)受感染的應(yīng)用程序主機(jī)進(jìn)行數(shù)據(jù)庫(kù)滲出。 惡意提升應(yīng)用程序主機(jī)權(quán)限。 對(duì)工作站的非特權(quán)訪問(wèn)。零信任可能包括連續(xù)身份驗(yàn)證概念,但不是 CA 的一種形式。零信任的其他術(shù)語(yǔ)是零信任網(wǎng)絡(luò)和零信任架構(gòu)。
零信任模型的工作原理零信任在允許連接到網(wǎng)絡(luò)上的任何資產(chǎn)之前檢查每個(gè)訪問(wèn)請(qǐng)求。安全控制根據(jù)以下屬性驗(yàn)證訪問(wèn)權(quán)限:
用戶(hù)身份。 端點(diǎn)硬件類(lèi)型。 固件版本。 操作系統(tǒng)版本。 補(bǔ)丁級(jí)別。 弱點(diǎn)和漏洞。 已安裝的應(yīng)用程序。 用戶(hù)登錄。一旦安全控制允許用戶(hù)或設(shè)備進(jìn)入網(wǎng)絡(luò),訪問(wèn)就不是無(wú)限期的。系統(tǒng)會(huì)定期驗(yàn)證用戶(hù)身份,以確保系統(tǒng)得到持續(xù)保護(hù)。
零信任安全策略直接與工作負(fù)載相關(guān)聯(lián)。安全性盡可能靠近資產(chǎn)。結(jié)果是一個(gè)保護(hù)系統(tǒng)隨工作負(fù)載移動(dòng)并在所有環(huán)境中保持一致。
零信任不僅僅關(guān)注預(yù)防。如果攻擊者突破邊界、利用漏洞或賄賂內(nèi)部人員,黑客對(duì)有價(jià)值數(shù)據(jù)的訪問(wèn)權(quán)限將受到限制。在攻擊者有足夠的時(shí)間造成破壞之前,系統(tǒng)會(huì)檢測(cè)并響應(yīng)異常行為。
零信任結(jié)合了一系列保護(hù)系統(tǒng)的原則和技術(shù),包括:
多因素身份驗(yàn)證。 身份和訪問(wèn)管理?(IAM)。 系統(tǒng)編排。 分析。 加密。 文件系統(tǒng)權(quán)限。 下一代端點(diǎn)安全技術(shù)。自動(dòng)化是零信任模型的一個(gè)重要方面。人類(lèi)無(wú)法跟上在企業(yè)層面實(shí)施零信任所需的監(jiān)控事件量。自動(dòng)化使安全系統(tǒng)保持運(yùn)行并執(zhí)行 24/7 策略。
自動(dòng)化盡可能多的補(bǔ)救、監(jiān)控和威脅檢測(cè)系統(tǒng)。這樣的策略可確保最佳保護(hù)并使團(tuán)隊(duì)騰出時(shí)間來(lái)處理更多關(guān)鍵業(yè)務(wù)任務(wù)。
傳統(tǒng)安全架構(gòu)與零信任架構(gòu)傳統(tǒng)的網(wǎng)絡(luò)安全依賴(lài)于城堡和護(hù)城河的概念。城堡和護(hù)城河安全側(cè)重于防止來(lái)自網(wǎng)絡(luò)外部的訪問(wèn),同時(shí)信任邊界內(nèi)的每個(gè)用戶(hù)和設(shè)備。
這種安全設(shè)置有幾個(gè)缺陷,使其對(duì)當(dāng)今的工作負(fù)載無(wú)效:
公司不再將數(shù)據(jù)保存在單個(gè)包含區(qū)域,而是保存在通常包括云供應(yīng)商的大型分布式系統(tǒng)中。 由于移動(dòng)勞動(dòng)力、 BYOD(自帶設(shè)備)?政策、物聯(lián)網(wǎng)和云采用,信任已經(jīng)在網(wǎng)絡(luò)中的用戶(hù)和設(shè)備不再安全?。 一旦攻擊者獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán),就沒(méi)有任何東西可以阻止通過(guò)系統(tǒng)的橫向移動(dòng)。 員工和客戶(hù)從一系列設(shè)備和位置訪問(wèn)應(yīng)用程序。城堡和護(hù)城河的概念不再能夠保護(hù)企業(yè)級(jí)網(wǎng)絡(luò)。然而,零信任安全提供了適合現(xiàn)代企業(yè)系統(tǒng)的功能:
默認(rèn)情況下,網(wǎng)絡(luò)不信任任何用戶(hù)或設(shè)備。 對(duì)于試圖從網(wǎng)絡(luò)內(nèi)部和外部訪問(wèn)資源的每個(gè)人來(lái)說(shuō),驗(yàn)證都是必要的。 分布式系統(tǒng)中的每個(gè)部分都有單獨(dú)的安全控制,以防止橫向移動(dòng)。 零信任安全保護(hù)什么?零信任是保護(hù)現(xiàn)代業(yè)務(wù)環(huán)境的理想選擇,它結(jié)合了公共云和私有云、SaaS 應(yīng)用程序和DevOps 管道。零信任安全模型保護(hù):
數(shù)據(jù):?零信任對(duì)數(shù)據(jù)的存儲(chǔ)位置、誰(shuí)可以訪問(wèn)它以及什么是敏感或陳舊的數(shù)據(jù)設(shè)置了明確的規(guī)則。 網(wǎng)絡(luò):?零信任網(wǎng)絡(luò)依靠分段、隔離和嚴(yán)格的限制來(lái)阻止攻擊者。 人:?人通常是任何安全策略中最薄弱的環(huán)節(jié)。零信任安全限制、監(jiān)控和強(qiáng)制用戶(hù)訪問(wèn)網(wǎng)絡(luò)內(nèi)外資源的方式。因此,網(wǎng)絡(luò)釣魚(yú)、錯(cuò)誤密碼或惡意內(nèi)部人員等威脅?的危險(xiǎn)性較小。 工作負(fù)載:?零信任模型保護(hù)整個(gè)應(yīng)用程序堆棧和后端軟件。嚴(yán)格的控制保護(hù)從數(shù)據(jù)存儲(chǔ)到操作系統(tǒng)和 Web 前端的一切。 設(shè)備:?網(wǎng)絡(luò)中的每個(gè)連接設(shè)備都是攻擊者的潛在切入點(diǎn)。零信任安全模型通過(guò)單獨(dú)的控制隔離和保護(hù)基礎(chǔ)設(shè)施中的每臺(tái)設(shè)備。 零信任安全的好處 1. 數(shù)據(jù)泄露預(yù)防數(shù)據(jù)是網(wǎng)絡(luò)攻擊最常見(jiàn)的目標(biāo),因?yàn)楹诳屯ǔ?huì)追求:
個(gè)人身份數(shù)據(jù) (PII)。 受保護(hù)的健康信息 (PHI)。 支付卡信息 (PCI)。 知識(shí)產(chǎn)權(quán) (IP)。零信任是保護(hù)企業(yè)級(jí)網(wǎng)絡(luò)中數(shù)據(jù)的最有效方法。訪問(wèn)信息需要徹底驗(yàn)證,因此每條有價(jià)值的數(shù)據(jù)都有強(qiáng)大的保護(hù)層。
2. 降低商業(yè)風(fēng)險(xiǎn)零信任模型在檢測(cè)可疑行為方面表現(xiàn)出色。所有用戶(hù)、應(yīng)用程序和服務(wù)都是惡意的,在系統(tǒng)驗(yàn)證其身份之前無(wú)法進(jìn)行通信。零信任通過(guò)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)的活動(dòng)并不斷分析資產(chǎn)的通信方式來(lái)降低風(fēng)險(xiǎn)。
3. 云和容器保護(hù)零信任模型提供了保持云和容器環(huán)境安全所需的可見(jiàn)性和控制。如果工作負(fù)載驗(yàn)證失敗,零信任會(huì)阻止它在系統(tǒng)上的任何位置進(jìn)行通信。
4. 更高的業(yè)務(wù)速度和敏捷性傳統(tǒng)的安全控制通常會(huì)減慢業(yè)務(wù)運(yùn)營(yíng)。阻塞的端口和關(guān)閉的主機(jī)會(huì)阻止員工訪問(wèn)數(shù)據(jù),導(dǎo)致整個(gè)系統(tǒng)出錯(cuò)并減慢進(jìn)程。
零信任模型不依賴(lài)于降低系統(tǒng)速度的靜態(tài)網(wǎng)絡(luò)結(jié)構(gòu)。保護(hù)跟隨工作負(fù)載,而不是從安全檢查點(diǎn)操作。阻塞和關(guān)閉是孤立發(fā)生的,不會(huì)影響系統(tǒng)的其他部分。
零信任還提供了對(duì)基礎(chǔ)架構(gòu)中所有用戶(hù)、設(shè)備、數(shù)據(jù)、服務(wù)器、應(yīng)用程序和容器的清晰概覽。
5. 移動(dòng)網(wǎng)絡(luò)資產(chǎn)時(shí)具有更好的靈活性團(tuán)隊(duì)經(jīng)常跨基礎(chǔ)架構(gòu)移動(dòng)應(yīng)用程序、數(shù)據(jù)和 IT 服務(wù)。在零信任模型之前,在環(huán)境之間移動(dòng)資產(chǎn)需要團(tuán)隊(duì)在新位置手動(dòng)重新創(chuàng)建安全策略。
零信任消除了這個(gè)耗時(shí)且容易出錯(cuò)的過(guò)程。該團(tuán)隊(duì)集中管理應(yīng)用程序和數(shù)據(jù)安全策略,而自動(dòng)化工具則按需遷移策略。
零信任安全模型的原則 1. 不信任任何人零信任背后的核心概念是網(wǎng)絡(luò)內(nèi)外都有攻擊者。系統(tǒng)不應(yīng)該自動(dòng)信任用戶(hù)或設(shè)備,因此每次訪問(wèn)嘗試都是威脅,直到驗(yàn)證確認(rèn)不是這樣。
用戶(hù)重新認(rèn)證是零信任的重要規(guī)則。每次用戶(hù)訪問(wèn)系統(tǒng)時(shí),安全控制都應(yīng)該重新驗(yàn)證訪問(wèn)資源的權(quán)限。
2. 使用最小權(quán)限訪問(wèn)模型將用戶(hù)限制為他們履行職責(zé)所需的訪問(wèn)權(quán)限。有限訪問(wèn)可大限度地減少每個(gè)用戶(hù)對(duì)網(wǎng)絡(luò)敏感部分的暴露,并降低攻擊面。單個(gè)受損帳戶(hù)無(wú)法使攻擊者訪問(wèn)大量數(shù)據(jù)。
3. 分割網(wǎng)絡(luò)網(wǎng)絡(luò)分段?是將網(wǎng)絡(luò)分成具有單獨(dú)安全控制的小區(qū)域的做法。有權(quán)訪問(wèn)一個(gè)區(qū)域的用戶(hù)或程序在沒(méi)有單獨(dú)授權(quán)的情況下無(wú)權(quán)訪問(wèn)另一個(gè)區(qū)域。
分段允許使用嚴(yán)格的訪問(wèn)控制策略來(lái)保護(hù)單個(gè)工作負(fù)載。如果發(fā)生漏洞,網(wǎng)絡(luò)分段會(huì)限制橫向移動(dòng)并提高系統(tǒng)彈性。
4.多因素認(rèn)證(MFA)MFA 要求用戶(hù)提供多個(gè)證據(jù)來(lái)驗(yàn)證其身份。MFA 的一個(gè)典型應(yīng)用是 2 因素授權(quán) (2FA)。使用 2FA,用戶(hù)必須輸入密碼并輸入發(fā)送到另一臺(tái)設(shè)備的代碼。
MFA 對(duì)于任何零信任安全方案都是必須的,因?yàn)樗梢韵拗?暴力攻擊。
5. 設(shè)備訪問(wèn)控制零信任需要對(duì)設(shè)備訪問(wèn)進(jìn)行嚴(yán)格控制。系統(tǒng)必須:
監(jiān)控嘗試訪問(wèn)網(wǎng)絡(luò)的不同設(shè)備的數(shù)量。 驗(yàn)證每次訪問(wèn)嘗試。嚴(yán)格的設(shè)備訪問(wèn)控制進(jìn)一步減少了網(wǎng)絡(luò)的攻擊面。
6.監(jiān)控和記錄一切持續(xù)檢查用戶(hù)、設(shè)備和活動(dòng)對(duì)于零信任至關(guān)重要。公司應(yīng)該使用自動(dòng)化工具來(lái)監(jiān)控每個(gè)網(wǎng)絡(luò)呼叫、文件訪問(wèn)和電子郵件是否存在惡意活動(dòng)。
監(jiān)控和記錄有助于快速識(shí)別:
數(shù)據(jù)泄露的跡象。 危險(xiǎn)的用戶(hù)帳戶(hù)。 惡意行為的模式。 系統(tǒng)薄弱環(huán)節(jié)。 勒索軟件攻擊。實(shí)時(shí)監(jiān)控還限制?了突破時(shí)間,這是攻擊者訪問(wèn)第一臺(tái)機(jī)器和他們開(kāi)始橫向移動(dòng)到其他系統(tǒng)之間的關(guān)鍵窗口。
7. 為違規(guī)做好準(zhǔn)備即使在零信任環(huán)境中,數(shù)據(jù)泄露也是不可避免的。通過(guò)以下方式準(zhǔn)備攻擊:
最小化爆炸半徑。 限制網(wǎng)絡(luò)中的橫向移動(dòng)。 準(zhǔn)備?數(shù)據(jù)備份策略。 制定應(yīng)對(duì)策略。
當(dāng)前名稱(chēng):什么是零信任模型?零信任安全的好處是什么?
網(wǎng)站路徑:http://www.rwnh.cn/news32/315282.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供響應(yīng)式網(wǎng)站、、手機(jī)網(wǎng)站建設(shè)、商城網(wǎng)站、網(wǎng)站維護(hù)、域名注冊(cè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容