chanong 对于资源访问保护,传统的方式是划分安全区域。 不同的安全领域有不同的安全要求。 安全区域之间形成网络边界。 在网络边界部署边界安全设备,包括防火墙、IPS、防病毒墙、WAF等,防止来自边界外的各种攻击,从而构建企业网络安全体系。 这种传统做法可以称为边境安全理念。 在边界安全的概念中,网络的位置决定了信任程度。 安全区域边界之外的用户默认是不可信(不安全)的,并且没有更多的访问权限。 边界外的用户想要访问边界内的网络,需要经过防火墙。 、VPN等安全机制; 安全区内的用户默认是受信任的(安全的),对于边界内用户的操作不再有太多的行为监控,但这导致了各个安全区内的过度信任(认为是安全的,给予的权限是太大了)。 同时,由于边界安全设备部署在网络边界,终端侧和资源侧缺乏数据,彼此之间缺乏联动。 对威胁的安全分析不够全面。 因此,内部威胁检测和防护能力不足,安全分析覆盖面不足。 全面性不足已成为边境安全理念的固有弱点。 甚至很多企业只是非常粗粒度地划分企业内网和外网(互联网),这种风险就更加明显。
此外,随着云计算、物联网、移动办公等新技术、新应用的兴起,企业的业务架构和网络环境也发生了重大变化,给传统的边界安全理念带来了新的挑战。 。 例如,云计算技术的普及带来了物理安全边界模糊的挑战。 远程办公、多方协同办公已成为常态,带来了访问需求复杂性增加、内部资源暴露扩大的风险。 各种设备(BYOD、协作伙伴设备)和各种人员访问,给设备和人员管理带来困难,增加安全因素不可控的风险。 高级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来边界安全防护机制被攻破的风险,对传统的边界安全理念和防护方法,如部署边界安全设备、简单的身份验证等提出了挑战。用户身份、静态、粗粒度的访问控制等,迫切需要更好的安全防护。 概念和解决方案。
传统边境安全理念先天能力不足,新技术、新应用带来新的安全挑战。 在此背景下,零信任最早的雏形源于2004年成立的杰里科论坛(Forum)。其使命是定义无边界趋势下的网络安全问题并寻求解决方案,提出基于网络位置限制隐式信任; 美国国防信息系统局(DISA)旨在解决GIG(全球信息网格),即美军的信息化。 (运营规划中极其重要、宏大的基础设施),如何实时、动态地规划和重构网络,发起了将基于边界的安全模型转换为基于单物安全的模型的项目,并提出了提出了SDP(SDP)的概念,后来被云安全联盟(Cloud)采用。 2010年,知名研究机构首席分析师John首次提出零信任概念并率先应用到项目中,有效解决了边界安全概念难以处理的安全问题。
2. 零信任的定义
根据NIST《零信任架构标准》中的定义:零信任(ZT)提供了一系列的概念和思想,假设在进行每一次对信息系统和服务的访问时,网络环境已经受到损害。 根据要求,减少决策准确性的不确定性。 零信任架构(ZTA)是基于零信任概念并围绕其组件关系、工作流程规划和访问策略构建的企业网络安全计划。
零信任代表了新一代网络安全防护理念。 它并不指单一的安全技术或产品。 其目标是降低资源访问过程中的安全风险,防止未经授权的资源访问。 关键是打破信任和网络位置的默认绑定。
在零信任概念下,网络位置不再决定访问权限。 所有访问主体都需要经过身份验证和授权后才允许访问。 身份认证不再仅仅针对用户,而是将对终端设备、应用软件等多种身份进行多维度、相关的识别认证,并且在接入过程中可以根据需要多次发起身份认证。 授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监控和信任评估来动态、细粒度的授权。 安全监控和信任评估结论是基于尽可能多的数据源计算得出的。
零信任概念的基本假设和原则如下:
一、零信任概念的基本假设
a) 内部威胁不可避免;
b) 空间上,资源访问过程中涉及的所有对象(用户、终端设备、应用、网络、资源等)默认都是不可信的,其安全性不再由网络位置决定;
c) 从时间上看,每个对象的安全性是动态变化的(在整个期间不是恒定的)。
2. 零信任的基本原则
a) 任何访问主体(人/设备/应用等)在允许访问之前必须经过身份认证和授权,避免过度信任;
b) 资源的访问主体的访问权限是动态的(不是静态的);
c) 分配访问权限时应遵循最小特权原则;
d) 尽可能减少不必要的网络资源暴露,以减少攻击面;
e) 尽可能确保所有访问主体、资源和通信链路处于最安全的状态;
f) 尽可能多、及时地获取可能影响授权的信息,并根据这些信息进行持续的信任评估和安全响应。
零信任适用于所有需要对资源访问进行安全保护的场景,但是否采用应根据企业可接受的安全风险水平和投资来确定。
3. 零信任技术体系
目前零信任主要有三大技术体系,分别是SDP(软件定义安全)、IAM(增强身份管理)和MSG(微隔离)。
1.软件定义安全(SDP)
SDP全称“ ”,是国际云安全联盟CSA于2014年提出的基于零信任概念的新一代网络安全模型。SDP使应用程序所有者能够在需要时部署安全边界,将服务与不安全的服务隔离开来。网络。 SDP 用在应用程序所有者控制下运行的逻辑组件替换物理设备。 SDP仅允许在设备验证和身份验证后访问企业应用基础设施。 SDP的架构由两部分组成:SDP主机和SDP控制器。 SDP主机可以发起连接或接受连接。 这些操作通过与 SDP 控制器交互的安全控制通道进行管理。
SDP安全优势:
1.SDP最小化攻击面,降低安全风险;
2.SDP通过分离访问控制和数据通道来保护关键资产和基础设施,防止潜在的基于网络的攻击;
3.SDP提供了现有安全设备难以实现的整体集成安全架构。
4.SDP提供基于连接的安全架构,而不是基于IP的替代方案。 由于整个 IT 环境的爆炸式增长,云环境中缺乏边界使得基于 IP 的安全性变得脆弱。
5. SDP允许预先检查和控制可以连接设备、服务和设施的所有连接,因此其整体安全性比传统架构更有优势。
2.增强身份管理(IAM)
增强的身份管理 IAM 是大多数组织安全和 IT 运营策略的核心。 它使企业能够自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。 身份管理支持并保护所有用户、应用程序和数据的数字身份。
身份管理可以帮助组织有效解决复杂的业务挑战并平衡四个关键目标:
1、强化安全,降低风险。
2. 提高合规性和审计绩效。
3、提供快速、高效的业务接入。
4、降低运营成本。
3.微隔离(MSG)
微分段是一种网络安全技术,可针对每个工作负载级别将数据中心逻辑划分为不同的安全段,然后为每个独特的段定义安全控制和服务。 微分段允许IT人员使用网络虚拟化技术在数据中心内部署灵活的安全策略,而无需安装多个物理防火墙。 微分段可用于通过策略驱动的应用程序级安全控制来保护企业网络中的每个虚拟机 (VM)。 微细分技术可以大大增强企业的应变能力。
微分段是一种在数据中心和云部署中创建安全区域的方法。 这种方法使组织能够分离工作负载并单独保护它们,使网络安全更加完整,从而更加有效。
以下是微隔离的一些优点:
1. 减少攻击面
2.提高横向移动的安全性
3. 安全关键应用
4. 提高合规性
4. 如何实施零信任系统
零信任覆盖面广。 根据企业的实际情况,您可以参考以下流程逐步建立零信任安全体系。
1、建立统一认证平台,提升基础安全和执行能力
建立统一的认证能力平台,为各业务系统提供认证能力。 所有业务平台均接入认证能力平台,获得中级及以上认证能力,大幅降低认证方式带来的风险。
4A体系认证体系可以与已经建立的4A体系结合升级。 通过多重身份验证提高您的安全级别。 采集并绑定设备指纹,将每台设备(PC或手机)与账号关联。 通过账户与设备的绑定,实现用户、账户、设备三位一体的认证体系。 建立以零信任网关为核心的控制系统,将极大提高对用户访问行为的控制,弥补现有业务系统在访问控制方面的安全短板。 建立收集系统,收集用户使用业务系统时的行为和环境信息。 零信任网关系统可以与4A系统等业务系统结合,通过代理技术隐藏所有代理系统的IP和端口,对用户访问行为进行认证和检测。
2、升级或部署EDR,强化终端管控和行为风险发现能力
为了加强客户监管,您可以升级资产和基线管理平台或部署EDR终端控制访问软件,对终端环境进行基线扫描和预警检查。 对于不符合要求的终端,通过统一身份认证平台禁止接入,并给出修复建议。
建立大数据处理系统,利用该系统对前一阶段收集到的用户行为信息进行统计和分析。 结合电信内部管理规章制度,制定一套有针对性的专家基本规则。 同时建立规则引擎,根据专家规则判断用户当前的环境和行为风险。 如果规则中缺少必要的信息指标,则调整收集指标以实现目标。
在基本规则的基础上,根据不同业务系统的特点,深入探索与业务系统密切相关的规则。 结合认证方式,在认证能力平台接入的各业务系统中实现自适应处理,让用户体验初级智能安全。 规则引擎与身份认证系统连接。 连接完成后,通过对用户对各业务系统的访问进行检测和评估,可以发现潜在的风险,主要包括假冒访问和非法操作。
3、引入智能工具,从传统安防向智能安防转型
建立机器学习平台,引入整套人工智能模型和可视化工具,利用前期收集的用户数据训练适配模型,建立智能规则引擎,自动评估用户所要求的行为信息和环境信息用户,并将先前部署的规则引擎关联起来,以验证和改进智能规则和引擎。 通过机器学习平台建立非感知认证模型作为辅助认证手段,进一步提升用户体验,从“有认证”升华到“无认证”。 通过大数据和机器学习模型,结合深度挖掘技术,构建用户画像数据库,识别用户行为习惯,践行“行为就是指纹”的理念,达到“零信任”的最终目标。
微信扫一扫打赏
支付宝扫一扫打赏
