Zero Trust零信任安全是一種IT安全模型�,要求試圖訪問專用網(wǎng)絡(luò)上資源的每一個人和每臺設(shè)備(無論位于網(wǎng)絡(luò)邊界之內(nèi)還是之外)都必須進(jìn)行嚴(yán)格的身份驗(yàn)證。
Zero Trust零信任安全是一種IT安全模型�,要求試圖訪問專用網(wǎng)絡(luò)上資源的每一個人和每臺設(shè)備(無論位于網(wǎng)絡(luò)邊界之內(nèi)還是之外)都必須進(jìn)行嚴(yán)格的身份驗(yàn)證。ZTNA(Zero Trust Network Access)是與Zero Trust架構(gòu)相關(guān)的主要技術(shù)�,但Zero Trust是一種全面的網(wǎng)絡(luò)安全方法,它融合了幾種不同的原理和技術(shù)�。
更簡單地說:傳統(tǒng)的IT網(wǎng)絡(luò)安全信任網(wǎng)絡(luò)內(nèi)的所有人和設(shè)備。零信任架構(gòu)不信任任何人和物�。
傳統(tǒng)IT網(wǎng)絡(luò)安全是基于城堡加護(hù)城河的概念。在城堡加護(hù)城河式的安全架構(gòu)中�,很難從網(wǎng)絡(luò)外部獲得訪問權(quán)限,但默認(rèn)情況下�,網(wǎng)絡(luò)內(nèi)部的每個人都受到信任。這種方法的問題在于�,一旦攻擊者獲得了網(wǎng)絡(luò)的訪問權(quán)限,便可自由支配網(wǎng)絡(luò)內(nèi)的所有內(nèi)容�。
隨著不斷發(fā)展,公司的數(shù)據(jù)不再存放于一處,城堡與護(hù)城河式安全系統(tǒng)中的這個漏洞因此而加劇�。如今,信息通常分散于多家云供應(yīng)商處�,使得對整個網(wǎng)絡(luò)進(jìn)行單一安全控制變得更加困難。
零信任安全意味著默認(rèn)情況下�,網(wǎng)絡(luò)內(nèi)外都不信任任何人,并且試圖訪問網(wǎng)絡(luò)資源的每一個人都需要進(jìn)行驗(yàn)證�。已有證據(jù)表明這種附加的安全層可以防止數(shù)據(jù)泄露。研究表明�,單個數(shù)據(jù)泄露事故的平均成本超過300萬美元??紤]到這個數(shù)字,許多組織現(xiàn)在渴望采用零信任安全策略就不足為奇了�。
Zero Trust以哪些原則為支撐?
持續(xù)監(jiān)控和驗(yàn)證
零信任網(wǎng)絡(luò)背后的理念是假設(shè)網(wǎng)絡(luò)內(nèi)部和外部都有攻擊者�,所以沒有用戶或機(jī)器應(yīng)該被自動信任。零信任驗(yàn)證用戶身份和權(quán)限�,以及設(shè)備身份和安全。在登錄和建立連接后�,經(jīng)過一段時間就會超時,迫使用戶和設(shè)備不斷重新驗(yàn)證�。
最低權(quán)限
零信任安全的另一原則是最低權(quán)限訪問。也就是說�,僅向用戶授予必要的訪問權(quán)限,就像軍隊中的將領(lǐng)僅在必要之時將信息告知士兵一樣�。這樣能最大程度減少各個用戶接觸網(wǎng)絡(luò)敏感部分的機(jī)會�。
實(shí)施最低權(quán)限涉及謹(jǐn)慎管理用戶權(quán)限�。VPN不太適合用于最低權(quán)限的授權(quán)方式,因?yàn)榈卿沄PN后�,用戶即可以訪問連接的整個網(wǎng)絡(luò)。
設(shè)備訪問控制
除了用戶訪問控制外�,零信任還要求對設(shè)備訪問進(jìn)行嚴(yán)格控制。零信任系統(tǒng)需要監(jiān)控有多少不同的設(shè)備在嘗試訪問他們的網(wǎng)絡(luò)�,確保每個設(shè)備都得到授權(quán)�,并評估所有設(shè)備以確保它們沒有被入侵。這進(jìn)一步減少了網(wǎng)絡(luò)的攻擊面�。
微分段
Zero Trust網(wǎng)絡(luò)也利用微分段。微分段是一種將安全邊界劃分為小區(qū)域的做法�,以分別維護(hù)對網(wǎng)絡(luò)各個部分的訪問。例如�,將文件存放在利用微分段的單個數(shù)據(jù)中心的網(wǎng)絡(luò)可能包含數(shù)十個單獨(dú)的安全區(qū)域。未經(jīng)單獨(dú)授權(quán)�,有權(quán)訪問其中一個區(qū)域的個人或程序?qū)o法訪問任何其他區(qū)域。
防止橫向移動
在網(wǎng)絡(luò)安全領(lǐng)域�,“橫向移動”是指攻擊者進(jìn)入網(wǎng)絡(luò)后在該網(wǎng)絡(luò)內(nèi)移動。即使攻擊者的進(jìn)入點(diǎn)被發(fā)現(xiàn)�,橫向移動也難以檢測到,因?yàn)楣粽邥^續(xù)入侵網(wǎng)絡(luò)的其他部分�。
零信任旨在遏制攻擊者,使他們無法橫向移動�。由于零信任訪問是分段的且必須定期重新建立�,因此攻擊者無法移動到網(wǎng)絡(luò)中的其他微分段�。一旦檢測到攻擊者的存在�,就可以隔離遭入侵的設(shè)備或用戶帳戶,切斷進(jìn)一步的訪問�。(在城堡和護(hù)城河模型中�,如果攻擊者可以橫向移動�,則隔離原始遭到入侵的設(shè)備或用戶賬戶幾乎沒有效果,因?yàn)楣粽咭呀?jīng)到達(dá)了網(wǎng)絡(luò)的其他部分�。)
多因素身份驗(yàn)證(MFA)
多因素身份驗(yàn)證(MFA)也是零信任安全的核心價值觀。MFA意味著需要多個證據(jù)來對用戶進(jìn)行身份驗(yàn)證�;僅輸入密碼不足以獲得訪問權(quán)限。MFA的一種常見應(yīng)用是Facebook和Google等在線平臺上使用的雙因素授權(quán)(2FA)�。除了輸入密碼之外,對這些服務(wù)啟用2FA的用戶還必須輸入發(fā)送到其他設(shè)備(例如手機(jī))的代碼�,從而提供兩個證據(jù)來證明自己的身份。
Zero Trust有什么好處�?
與傳統(tǒng)的安全方法相比,Zero Trust理念更適合現(xiàn)代IT環(huán)境�。由于訪問內(nèi)部數(shù)據(jù)的用戶和設(shè)備種類繁多,并且數(shù)據(jù)同時存儲在網(wǎng)絡(luò)內(nèi)部和外部(云中)�,假設(shè)沒有用戶或設(shè)備值得信賴,比假設(shè)預(yù)防性安全措施已經(jīng)堵上所有漏洞要安全得多�。
應(yīng)用Zero Trust原則的主要好處是有助于減少組織的攻擊面。此外�,Zero Trust通過微分段將漏洞限制在一個小區(qū)域�,從而在攻擊確實(shí)發(fā)生時將損害降至最低�,這也降低了恢復(fù)成本。零信任通過要求多個身份驗(yàn)證因素來減少用戶憑據(jù)盜竊和網(wǎng)絡(luò)釣魚攻擊的影響�。它有助于消除繞過傳統(tǒng)邊界型保護(hù)措施的威脅。
而且�,通過驗(yàn)證每個請求,Zero Trust安全性降低了易受攻擊的設(shè)備帶來的風(fēng)險�,包括通常難以保護(hù)和更新的IoT設(shè)備(請參閱IoT安全)。
零信任安全的發(fā)展歷程是怎樣的�?
“零信任”一詞是2010年Forrester Research Inc.的一位分析師首次提出這一概念的模型時創(chuàng)造的。幾年之后�,Google宣布他們已在其網(wǎng)絡(luò)中實(shí)施了零信任安全�,這讓技術(shù)社區(qū)中越來越多人對采用零信任安全產(chǎn)生興趣。2019年�,全球研究和咨詢公司Gartner將零信任安全訪問列為安全訪問服務(wù)邊緣(SASE)解決方案的核心組成部分。
什么是零信任網(wǎng)絡(luò)訪問(ZTNA)�?
零信任網(wǎng)絡(luò)訪問(ZTNA)是讓組織能夠?qū)嵤┝阈湃伟踩闹饕夹g(shù)。類似于軟件定義邊界(SDP)�,ZTNA隱藏了大多數(shù)基礎(chǔ)設(shè)施和服務(wù),在設(shè)備和它們需要的資源之間建立一對一的加密連接�。了解有關(guān)ZTNA工作原理的更多信息。
有哪些Zero Trust的用例�?
任何依賴網(wǎng)絡(luò)并存儲數(shù)字?jǐn)?shù)據(jù)的組織都可能會考慮使用Zero Trust架構(gòu)。Zero Trust的一些最常見用例包括:
替換或擴(kuò)充VPN:許多組織依靠VPN來保護(hù)他們的數(shù)據(jù)�,但如上所述�,VPN通常不是防御當(dāng)今風(fēng)險的理想選擇�。
安全地支持遠(yuǎn)程工作:VPN會造成瓶頸并會降低遠(yuǎn)程工作人員的工作效率,而Zero Trust可以將安全訪問控制擴(kuò)展到來自任何地方的連接�。
適用于云和多云的訪問控制:Zero Trust網(wǎng)絡(luò)會驗(yàn)證任何請求,無論其來源或目的地在哪里�。它還可以通過控制或阻止使用未經(jīng)批準(zhǔn)的應(yīng)用程序,來幫助減少使用未經(jīng)授權(quán)的云端服務(wù)(一種稱為“影子IT”的情況)�。
第三方和承包商加入:Zero Trust可以快速將受限的最低權(quán)限訪問擴(kuò)展到外部各方,這些外部各方通常使用不受內(nèi)部IT團(tuán)隊管理的硬件設(shè)備�。
新員工快速加入:Zero Trust網(wǎng)絡(luò)還可以加速內(nèi)部新用戶的快速加入,這一點(diǎn)非常適合快速發(fā)展的組織�。相反,VPN可能需要增加更多容量才能容納大量新用戶�。
有哪些主要的Zero Trust最佳實(shí)踐?
監(jiān)控網(wǎng)絡(luò)流量和連接的設(shè)備:可見性對于驗(yàn)證用戶和設(shè)備至關(guān)重要�。
保持設(shè)備更新:需要盡快修補(bǔ)漏洞。Zero Trust網(wǎng)絡(luò)應(yīng)當(dāng)能夠限制對易受攻擊設(shè)備的訪問(監(jiān)控和驗(yàn)證是關(guān)鍵的另一個原因)�。
為組織中的每個人應(yīng)用最低權(quán)限原則:從高管到IT團(tuán)隊,每個人都只應(yīng)擁有他們所需的最少訪問權(quán)限�。如果最終用戶帳戶遭到入侵,這可以最大限度地減少損失�。
對網(wǎng)絡(luò)進(jìn)行分區(qū):將網(wǎng)絡(luò)分成更小的區(qū)塊有助于確保在漏洞傳播之前及早進(jìn)行遏制。微分段是實(shí)現(xiàn)此目的的有效方法�。
假設(shè)網(wǎng)絡(luò)邊界線不存在:除非網(wǎng)絡(luò)是完全實(shí)體隔離的(很少見),否則它接觸互聯(lián)網(wǎng)或云的點(diǎn)可能過多而無法消除�。
使用安全密鑰來實(shí)現(xiàn)MFA:基于硬件的安全令牌顯然比通過短信或電子郵件發(fā)送的一次性密碼(OTP)等軟令牌更安全�。
更全面的威脅情報:由于攻擊者不斷更新和改進(jìn)他們的策略�,訂閱最新的威脅情報數(shù)據(jù)源對于在威脅傳播之前識別威脅至關(guān)重要。
避免促使最終用戶規(guī)避安全措施:正如過于嚴(yán)格的密碼要求會促使用戶一遍又一遍地重復(fù)使用相同的密碼一樣�,強(qiáng)制用戶每小時通過多種身份因素重新進(jìn)行一次身份驗(yàn)證可能會過于頻繁,甚至?xí)档桶踩?。始終將最終用戶的需求牢記在心。
如何實(shí)施零信任安全�?
零信任聽起來很復(fù)雜,但如果有合適的技術(shù)伙伴�,采用這種安全模式可以相對簡單。例如�,Cloudflare One是一個SASE平臺,它將網(wǎng)絡(luò)服務(wù)與對用戶和設(shè)備的內(nèi)置零信任訪問方法相結(jié)合�。有了Cloudflare One,客戶可以圍繞其所有資產(chǎn)和數(shù)據(jù)自動實(shí)施零信任保護(hù)�。
立即登錄�,閱讀全文
閩公網(wǎng)安備 35010202001226號
