零信任架构并不是一个新概念,随着今年早些时候美国政府的行政命令,网络空间中的许多企业都在询问网络可见性分析如何适应这一趋势.要回答这个问题,首先需要了解是什么推动了这种转变。该行政命令的第III部分指出,行业机构(及其合作伙伴)必须采用安全最佳实践,转向零信任架构,并加速转向保护云服务,如SaaS、IaaS和PaaS。它呼吁政府机构更新现有计划,以优先考虑采用云计算技术的资源,并制定实施零信任架构的计划(使用NIST的迁移步骤)。它还呼吁美国网络安全和基础设施安全局(CISA)通过零信任架构实现现代化,以便在云计算环境中充分发挥作用,并呼吁美国联邦风险和授权管理计划(FedRAMP)制定管理云服务提供商的法规纳入机构现代化工作的安全原则。由于供应商对什么是零信任架构感到困惑,下面探讨了它对网络可见性和要求的影响。根据美国国家标准与技术研究院(NIST)的说法,“零信任是一组不断发展的网络安全范例的术语,这些范例将防御从静态的、基于网络的边界转移到关注用户、资产和资源。零信任该架构使用零信任原则来规划工业和企业基础设施和工作流程。”这种方法采用的基本NIST原则包括:企业专用网络不被视为隐藏的信任区域。网络上的设备可能不是公司所有或不可配置的。没有资源是天生值得信赖的。并非所有企业资源都驻留在企业拥有的基础设施上。远程业务负责人和资产不能完全信任他们的本地网络连接。在企业和非企业基础设施之间移动的资产和工作流应该具有一致的安全策略和状态。但是零信任架构与网络可见性或网络性能监控(NPM)有何关系?零信任架构的三种NIST架构方法对网络可见性有影响:第一种是使用增强的身份治理,这意味着仅使用用户身份允许在身份验证后访问特定资源。第二种是使用微分段,例如在对云计算或数据中心资产或工作负载进行分段时,将流量与其他流量分开,以包含但也防止横向移动。第三是使用网络基础设施和软件定义的边界,例如零信任网络访问(ZTNA),以允许远程工作人员仅连接到特定资源。NIST还描述了对零信任架构部署的监控。概述网络性能监控需要安全功能以实现可见性。这包括应检查和记录网络上的流量(并进行分析以识别和接触潜在的攻击),包括资产日志、网络流量和资源访问操作。此外,NIST对无法访问所有相关和加密流量表示担忧——这些流量可能源自不属于企业的资产(例如使用企业基础设施访问互联网的服务)或应用程序和服务。无法执行深度数据包检查或检查加密流量的组织必须使用其他方法来评估网络上可能的网络攻击者。美国国防部将零信任架构分解为七个信任支柱:用户、设备、网络/环境、应用程序和工作负载、数据、可见性和分析,以及自动化和编排。毫不奇怪,节点包管理器(NPM)与可见性和分析支柱直接相关。以下是NPM融入零信任架构的四种方式:NPM可以提供上下文详细信息以及对跨其他支柱(包括应用程序和用户)的性能、行为和活动的理解。例如,监控网络各个部分的应用程序性能或指出安全问题,例如拒绝服务或受损的网络设备。NPM还可以对来自各种用户设备的应用程序的流量模式提供用户行为分析。NPM改进了对异常行为的检测,并使利益相关者能够对安全策略和实时访问决策进行动态更改。例如,利用网络AIOps来查找站点内部和站点之间的异常行为。如果大量流量表明存在某种类型的数据泄露,则可以发出警报并调整安全策略。另一个例子是使用VXLAN的微分段网络,可以看到各种虚拟网络,包括每个VXLAN内的流量。让人们了解正确的安全策略正在发挥作用是很重要的。
