网络安全对于保护组织免受有害且代价高昂的网络攻击至关重要。考虑到这一必要性,越来越多的组织正在寻求实施零信任架构,以确保网络攻击更难被破坏,然后在企业的基础设施内传播。在这篇深入的文章中,我们将全面概述零信任架构。我们的五步指南总结了所涉及的过程,包括最佳实践和针对潜在实施障碍的简短常见问题解答。什么是零信任,为什么它很重要?零信任是指以“假设违规”为原则出发,采用“最小权限”方式授予访问权限的一种网络安全理念。从最纯粹的意义上讲,这需要在允许交互继续之前验证一组资源(人员、工作负载、网络、数据和设备)之间的每次交互的上下文。如今,许多组织越来越混合并分散在云、本地和端点环境中。这种网络扩展导致了更多可被黑客攻击的漏洞,更不用说内部数据泄露事件的增加了。为了应对漏洞的增加,需要更好的访问控制,而这正是采用零信任方法变得重要的地方。零信任最佳实践实施零信任架构并不总是那么简单。然而,工艺和技术的进步正在帮助简化工作。借助当今的新技术,真正的零信任现在已成为组织实施的切实可行的选择。在尝试实施零信任之前要考虑的最佳做法包括:在网络中的所有接入点上应用多因素身份验证。确保所有连接的设备都定期更新和维护良好。进行定期和彻底的监控以确保严格的访问控制过程。限制对网络中各种组件的访问以改进管理。毫不奇怪,金融机构和银行以及谷歌和微软等领先组织使用零信任网络架构并摆脱传统的基于边界的安全性。世界上越来越多的组织正在效仿以保护他们的数据。实施零信任的五个步骤现在您了解了好处和挑战,是时候考虑设计和实施零信任策略来阻止网络攻击的传播了。这可以分为五个步骤来帮助简化流程。1.创建策略在分解零信任策略之前,创建定义它的策略很重要。每个问题都需要询问有关网络的使用方式、谁在使用它、他们如何使用它、在哪里使用等问题。这将有助于组织内的个人了解新流程和系统并避免混淆。2.确定网络的攻击面攻击面是指混合网络上可以被“威胁者”利用的漏洞数量。网络犯罪分子或网络帮派可以发起一系列不同的攻击,这些攻击可以在您的网络上建立未经授权的远程连接,从而允许他们访问您的数字基础设施中的关键资源和数据。映射网络的攻击面可以让您确定保护工作的优先级。根据Forrester的零信任模型,资产的五个支柱需要得到保护:人员:用户只能在您的网络内和跨网络访问他们有权访问的内容。网络:隔离、分段和保护网络。设备:保护连接到网络的设备。工作负载:保护您用于运营业务的应用程序和工作负载。数据:隔离、加密和控制数据。2.定义访问控制和权限必须为每个用户或用户类型建立访问和权限级别。零信任策略根据上下文验证访问,包括用户身份、设备、位置、内容类型和请求的应用程序。策略是自适应的,因此随着上下文的变化不断重新评估用户访问。3.选择正确的零信任解决方案每个网络都是不同的。一种解决方案可能对一个组织有效,但对另一个组织几乎毫无用处。Forrester建议将微分段作为主要的零信任安全控制。分段将您的混合基础设施划分为区域,帮助您确定每个区域需要哪些安全协议。4.进行持续监控实施零信任仅仅是个开始,要有效,您必须持续监控网络上的活动以识别弱点并优化安全系统的整体性能。定期报告可以帮助发现网络上的异常行为,并评估其他措施是否影响了企业内的绩效水平。您的报告将使用一系列分析,这些分析可以为网络和用户运营的几乎所有方面提供有价值的见解。此外,可以使用机器学习等高级技术查看记录网络活动的日志。结合起来,这些数据可以帮助您调整和改进您的零信任网络,帮助您进行必要的更改以抵御新的和更复杂的网络攻击。实施零信任组织的挑战通常需要克服三个关键挑战才能成功实施零信任安全。保护物理和基于云的基础设施对于希望建立零信任架构的组织来说,一个主要挑战是现有网络的复杂构成。大多数网络由新旧硬件和软件、物理设备和基于云的基础设施组成。基础设施可以包括基于云的服务器、物理服务器、数据库、代理、内部应用程序和软件、VPN、软件即服务(SaaS)等。使用传统方法将每个接入点保护到零信任级别可能很困难,即使对于经验丰富的工程师也是如此。Illumio等现代零信任技术可以帮助自动化和简化流程。软件升级和更改的需求零信任网络需要分段技术来轻松构建有效的策略,然后可以随着组织的数字基础设施的发展而更新。如果没有统一的通信流量视图和分段策略的??集中管理,组织将难以在当今的分布式和虚拟混合网络中协调零信任分段。零信任架构需要灵活的工具,例如微分段平台、身份感知代理和软件定义边界(SDP)软件。计划一次迁移到零信任安全模型的旅行是一项需要时间和学习的承诺。网络规划,包括决定组织各个方面的权限和访问级别,似乎令人望而生畏,尤其是在混合运行云服务和本地数据中心的网络中。将零信任理解为旅程而不是目的地很重要。它不需要一个完整的计划;它可以分解为随着时间的推移解决的小步骤。这允许组织开始保护他们最关键的业务漏洞,而不是在实施任何安全实践之前等待完整的计划。零信任:常见问题解答(FAQ)以下是与零信任架构相关的常见问题解答。如何选择零信任提供商?您选择的任何零信任提供商都必须满足最高安全标准,例如ISO27001认证和SOC2安全要求。其他需要考虑的因素:供应商擅长哪些技术?平台能否扩展以有效分割全球网络?平台对中小企业来说划算吗?该平台能否同时划分云环境和本地环境?供应商是否提供端点管理?平台能否提供通信路径和细分区域的统一视图?系统是否识别异常行为?该平台能否支持较旧的应用程序和设备?提供的支持水平如何?零信任会取代VPN吗?不会。VPN仍然是保护来自远程端点设备的某些类型流量的有效工具。零信任隔离提供高度互补的安全性,确保VPN之外的所有区域都得到很好的保护,有助于提高网络安全性。零信任如何与访客访问一起使用?零信任需要来自网络上所有用户和设备的多因素身份验证。来宾需要像员工一样进行身份验证,无一例外。实施零信任需要多长时间?设计和实施零信任网络的时间完全取决于其复杂性和网络规模。流程的规划和评估阶段——以及适当的工具和技术——对于缩短项目的总体实施时间至关重要。零信任迈出下一步零信任安全对于保护当今的混合IT环境免受日益增长的网络威胁至关重要。如果没有零信任安全提供的保护,组织将面临勒索软件和数据盗窃的巨大风险——这些事件可能对任何组织造成巨大损害。实现零信任安全需要全面的努力,但零信任细分对于使零信任安全对几乎任何组织都具有实用性和可扩展性至关重要。
