部署零信任访问的五个核心点
发布时间:2022-06-27 16:11:23 所属栏目:安全 来源:互联网
导读:零信任的概念可以追溯到2010年。因为受信任的内部网络和不受信任的外部网络已经逐渐不再真实,而导致传统边界安全模型无法提供足够的防护。这个解决方案的目的就是改变信任模型,使得没有用户可以自动被信任。 这里有五个企业可以如何有效落地ZTA的信息。 1.
|
“零信任”的概念可以追溯到2010年。因为受信任的内部网络和不受信任的外部网络已经逐渐不再真实,而导致传统边界安全模型无法提供足够的防护。这个解决方案的目的就是改变信任模型,使得没有用户可以自动被信任。 这里有五个企业可以如何有效落地ZTA的信息。 1. ZTA抛弃了间接信任 ZTA的关键在于知道和控制哪些人、哪些东西在自己的网络上。CISO们可以以此减少因员工带来的风险,并且移除基于间接信任运作的系统来更有效地管理组织的网络。 通过对用户的接入进行限制,同时启用进一步的身份认证,ZTA可以减少隐患,从而只有合法用户才能接入与他们身份相关的系统——至少是“需要知晓”等级的接入权限。 2. ZTA和ZTNA不同 ZTA考虑的不仅仅是谁在网络上,还有“什么”在网络上。大量增加的网络连接设备可能包括从打印机到加热通风设备、门禁系统等物联网设备。这些无用户界面的设备没有用户名和口令来识别它们自己以及它们的角色。对于这些设备,网络准入控制解决方案可以发现和控制接入。通过使用网络准入控制策略,零信任最小接入原则可以应用到物联网设备,确保这些设备有足够的网络接入权限进行他们的工作,并且不超出它们所需的权限。 零信任网络接入(Zero Trust Network Access, ZTNA)是ZTA的一个组件,用于控制应用的接入,无论应用的用户或者应用本身在哪。用户可能在一个企业网络上、可能在家工作、或者其他某个地方。应用可能存在于企业的数据中心、在私有云、或者在公共网络上。ZTNA将零信任模型从网络侧继续延展,通过将应用从互联网上隐藏减少攻击面。 3. 网络准入控制是ZTA的起点 如果要落地ZTA,首先要知道网络上所有的设备。一个网络准入控制解决方案可以准确发现和识别每个在网络上或者试图接入网络的设备,对其进行扫描以确保设备并没有已经遭到攻击,然后为该设备建立角色和权限。 网络准入控制会记录所有设备,从用户电话和笔记本电脑,到网络服务器、打印机、以及如HVAC控制器或者安全读卡器等无界面物联网设备。 4. 微隔离是关键 一旦知道了网络上有些什么,就可以用网络准入控制的动态网络微隔离将每个设备分配到适合的网络区域。决定哪个是正确的区域会基于一系列的因素,包括设备类型、功能、网络上的目的等。 网络准入控制同样可以支持基于目的隔离,可以通过下一代防火墙平台智能化分隔设备。分隔区可以基于业务目标,比如GDPR隐私法律的合规要求,或者PCI-DSS的交易保护。在有基于目的的分区情况下,无论在网络何处的资产,都会基于其标签符合合规需求,从而减少满足合规需要的时间和成本。 除了简化整体网络以及安全管理,零信任方案同样能增加组织中的可视化以及控制能力,包括离线的设备。ZTA应成为任何一个有效安全策略的基础。只要零信任正确落地,它会只允许正确的人或者实体快速接入完成他们工作所需要的资源,同时减少因未授权接入产生的风险和下线时间。 点评 从本文的建议中不难发现,零信任访问的关键之一在于网络准入控制——或者说零信任访问是现有网络准入控制的未来形态。不仅是从技术层面,从逻辑层面也需要对企业的网络进行改变。零信任理念的扩展必然会让网络控制准入解决方案厂商开辟新的市场。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号