4 分钟阅读

零信任已经成为网络安全的最新流行词之一。必须要了解什么是零信任,什么不是零信任。

零信任是一项战略举措,通过消除企业网络架构中的信任概念,有助于防止数据泄露得逞。零信任基于“从不信任,始终验证”的原则,旨在通过利用网络分段、防止横向移动、提供第 7 层威胁预防和简化精细用户访问控制来保护现代数字环境。

零信任是由 John Kindervag 在担任 Forrester Research 的副总裁和首席分析师期间创建的,他认识到传统的安全模型基于过时的假设,即企业网络中的一切都应该被信任。依据这种不可靠的信任模型,可以假设一个用户的身份没有被破坏,所有用户的行为都是负责任的并且可以被信任。零信任模型认识到信任是一个漏洞。一旦进入网络,用户(包括威胁执行方和恶意内部人员)就可以自由地横向移动,访问或泄漏他们未受限的任何数据。请记住,攻击的渗透点通常不是目标位置。

根据 Forrester Wave™:特权身份管理,2018 年第 4 季度,这种信任模型继续滥用凭据。1 零信任不是让系统信任,而是消除信任。

零信任架构

在零信任中,可以确定一个“保护面”。保护面由网络中最关键、最有价值的数据、资产、应用和服务(简称 DAAS)组成。保护面对于每个企业是独一无二的。因为它只包含对企业运作最关键的东西,所以保护面比攻击面小几个数量级,而且总是可知的。

识别了保护面后,就可以确定企业中的流量相对于保护面如何移动。了解用户是谁、他们正在使用哪些应用以及他们如何连接,是确定和实施确保安全访问数据的策略的唯一方法。一旦您了解了 DAAS、基础设施、服务和用户之间的相互依赖关系,就应该将控制措施设置在尽可能靠近保护面的位置,在其周围创建一个微边界。无论保护面移动到哪里,这个微边界都会随着保护面移动。您可以通过部署分段网关(通常称为新一代防火墙)来创建一个微边界,以确保只有已知的、允许的流量或合法的应用才能访问保护面。

分段网关提供了对流量的精细可视性,并使用基于 Kipling 方法的精细第 7 层策略强制执行额外的检查和访问控制层,该方法基于身份、内容、时间、地点、原因和方式,定义了零信任策略。零信任策略决定谁可以在任何时间点经过微边界,防止未经授权的用户访问您的保护面,并防止敏感数据外泄。零信任仅在第 7 层上可行。

一旦围绕保护面构建了零信任策略,就可以继续实时监视和维护,寻找应该包含在保护面中的内容,以及尚未考虑的相互依赖性和改进策略的方法。

零信任:与企业一样有活力

零信任并不取决于位置。用户、设备和应用工作负载现在无处不在,因此,您不能在一个位置强制实施零信任 - 它必须在整个环境中扩散。合格的用户需要访问适当的应用和数据。

用户还可以从任何地方访问关键应用和工作负载:住宅、咖啡店、办公室和小型分支机构。零信任需要一致的可视性、强制执行和控制,可以直接在设备上或通过云交付。软件定义的边界提供了安全的用户访问并防止数据丢失,无论用户在哪里、使用了哪些设备,也不用考虑您的工作负载和数据托管在何处(即数据中心、公有云或 SaaS 应用)。  

工作负载是高度动态的,可以跨多个数据中心、公有云、私有云和混合云移动。如果采用零信任,您必须深入了解用户、设备、网络、应用和数据之间的活动和相互依赖关系。分段网关在您的内部数据中心和多云环境中监控流量、阻止威胁并强制执行跨南北向和东西向流量的精细访问权限。  

部署零信任

实现零信任通常被视为成本高昂且复杂。然而,零信任是建立在您现有架构之上的,不需要您淘汰取代现有的技术。不存在零信任产品。只有在零信任环境中效果良好和效果不佳的产品。使用简单的五步法来部署、实现和维护零信任也非常简单。下面的指导流程有助于确定您所在的阶段和下一步操作:

  1. 确定保护面

  2. 映射事务流程

  3. 构建零信任架构

  4. 创建零信任策略

  5. 监控和维护

创建零信任环境 - 包括一个保护面,其中包含一个 DAAS 元素,该元素由分段网关在第 7 层使用 Kipling 方法策略实施的微边界保护 - 这是一个简单的迭代过程,您可以一次重复一个保护面/DAAS 元素。

要进一步了解零信任并在您的企业内实现它,请阅读白皮书利用五步法简化零信任实施

 

如何实现零信任架构

使用“零信任”可获得所有流量(跨用户、设备、位置和应用)的可视性和情境,还可以使用分区功能获得内部流量可视性。要获得流量可视性和情境,流量需要通过具有解密功能的新一代防火墙。新一代防火墙支持边界的微分段,并在企业内充当边界控制措施。虽然有必要确保外部边界的安全,但更重要的是,当流量跨越网络内不同职能时,获得可视性来验证流量。添加双因素身份验证和其他验证方法将提高您正确验证用户的能力。利用零信任方法来识别您的业务流程、用户、数据、数据流和相关风险,并设置可以在每次迭代中根据相关风险自动更新的策略规则。

要了解有关零信任和实施零信任网络的更多信息,请阅读白皮书“五个步骤实现零信任”或观看“如何为数据中心启用零信任安全”在线研讨会。

您还可以在 Palo Alto Networks 网站上查看以下页面以获取更多信息:

1 The Forrester Wave™:特权身份管理,2018 年第 4 季度。 https://www.forrester.com/report/The+Forrester+Wave+Privileged+Identity+Management+Q4+2018/-/E-RES141474

数据表

Cortex XDR

通过统一网络、端点和云数据找到并阻止隐蔽性攻击

  • 3689

白皮书

Cortex XDR 白皮书

安全团队面临着来自四面八方的威胁:从勒索软件到网络间谍活动,从无文件攻击到具有破坏性的数据泄露。然而,对于大部分安全分析师而言,令人头痛 的并不是那些霸占新闻头条、数量无穷无尽的风险,而是令人泄气、却每天不 得不去做的重复性任务,比如分类事件和尝试减少不断产生的积压警报。

  • 3308

文章

什么是安全运营中心 (SOC)?

安全运营中心 (SOC) 是负责监控和管理企业安全态势的集中部门,通常由安全专业人员组成,负责识别、响应和缓解安全威胁。

  • 421

文章

恶意软件 | 什么是恶意软件以及如何抵御恶意软件攻击

Malware is a file or code, typically delivered over a network, that infects, explores, steals or conducts virtually any behavior an attacker wants.

  • 717

文章

什么是扩展检测和响应 (XDR)?

扩展检测和响应即 XDR,是一种新的威胁检测和响应方法,提供了针对网络攻击、未经授权的访问和滥用的全面保护。

  • 525

文章

什么是 MITRE ATT&CK 框架?

MITRE ATT&CK is a globally recognized knowledge base of adversary tactics and techniques developed and maintained through the observation of real-world cyberattacks.

  • 217

获取最新资讯、活动邀请以及威胁警报