日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
啟用“零信任”模型前需要解決的6個問題

如果你的網(wǎng)絡(luò)有一個邊界,它總有一天會遭到破壞。這既是“現(xiàn)實世界”難以傳授的教訓(xùn),也是關(guān)鍵安全模型(零信任)產(chǎn)生的前提。

為赫章等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù),及赫章網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)、赫章網(wǎng)站設(shè)計,以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會得到認(rèn)可,從而選擇與我們長期合作。這樣,我們也可以走得更遠(yuǎn)!

什么是“零信任”?

“永不信任且始終驗證”應(yīng)該是對零信任模型最具概括性的描述。所謂“永不信任”,是因為網(wǎng)絡(luò)中沒有用戶或端點被認(rèn)為是絕對安全的;“始終驗證”是因為每個用戶和端點訪問任何網(wǎng)絡(luò)資源都必須在每個網(wǎng)絡(luò)節(jié)點進(jìn)行身份驗證,而不僅僅是在邊界或大型網(wǎng)段邊界才需要進(jìn)行身份驗證。

本質(zhì)上來說,零信任是關(guān)于如何創(chuàng)建組織的網(wǎng)絡(luò)安全態(tài)勢的思考過程和方法,其基本上打破了舊式的“網(wǎng)絡(luò)邊界防護(hù)”思維。在舊式思維中,專注點主要集中在網(wǎng)絡(luò)防御邊界,其假定已經(jīng)在邊界內(nèi)的任何事物都不會造成威脅,因此邊界內(nèi)部事物基本暢通無阻,全都擁有訪問權(quán)限。而就零信任模型而言,其對邊界內(nèi)部或外部的網(wǎng)絡(luò)統(tǒng)統(tǒng)采取不信任的態(tài)度,必須經(jīng)過驗證才能完成授權(quán),實現(xiàn)訪問操作。

為什么要用零信任?

2010年,“零信任”網(wǎng)絡(luò)架構(gòu)正式面世,如今,經(jīng)過9年的發(fā)展,零信任模型已經(jīng)在CIO、CISO和其他企業(yè)高管中流行起來。而推動零信任模型日漸流行的現(xiàn)實因素有很多,包括:

1. 網(wǎng)絡(luò)攻擊演變得更加復(fù)雜高端

網(wǎng)絡(luò)形勢的嚴(yán)峻程度具體可以通過下述一組統(tǒng)計數(shù)據(jù)進(jìn)行直觀地了解:

美國網(wǎng)絡(luò)安全公司 Cybersecurity Ventures 發(fā)布的《2017年度網(wǎng)絡(luò)犯罪報告》預(yù)測,到2021年,網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6萬億美元/年,比2015年的3萬億美元足足翻了一倍。

同時,由Ponemon Institute和IBM安全機(jī)構(gòu)贊助的《2018年數(shù)據(jù)泄露研究成本》發(fā)現(xiàn),數(shù)據(jù)泄露的全球平均成本現(xiàn)在為390萬美元,比2017年增加了6%。

而且,這些數(shù)據(jù)還是在公司企業(yè)對網(wǎng)絡(luò)安全工作投入越來越多的情況下取得的??萍佳芯颗c咨詢公司Gartner將2018年全球信息安全產(chǎn)品和服務(wù)支出定在了1140多億美元,比去年增長12.4%。

企業(yè)高管們開始認(rèn)識到現(xiàn)有的安全方法并不足以應(yīng)對愈趨嚴(yán)峻的安全態(tài)勢,他們需要尋找更好的方法,而零信任模型恰好就是解決該問題的答案。

2. 工作流的移動化和云端化

如今,可以說網(wǎng)絡(luò)邊界已經(jīng)根本不存在了。單純由內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在,企業(yè)應(yīng)用一部分在辦公樓里,一部分在云端,分布各地的員工、合作伙伴和客戶都可以通過各種設(shè)備遠(yuǎn)程訪問云端應(yīng)用。

面對這樣的新形勢,我們應(yīng)該如何保護(hù)自身安全成為了一個重要命題,而零信任模型也由此應(yīng)運而生并流行開來。

零信任模型真的適合您的企業(yè)嗎?

雖然零信任模型背后的概念很簡單,但是實現(xiàn)起來卻是另一回事。在公司決定投資該技術(shù)和程序之前,應(yīng)該了解該模型及其應(yīng)用所涉及的具體內(nèi)容。雖然,零信任被視為“后邊界時代”的答案,但它真的適合您的公司嗎?我想您需要通過了解以下幾個問題來獲取答案:

1. 決定由誰負(fù)責(zé)驅(qū)動項目?

無論是零信任模型本身,還是其支持技術(shù)“微分段”都需要對安全和網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行更改。鑒于此,公司首先要回答的問題之一就是應(yīng)該由哪個團(tuán)隊負(fù)責(zé)該項目。

在開始項目之前,根據(jù)具體的應(yīng)用程序環(huán)境配置方式,可能需要對交換機(jī)、路由器、防火墻、身份驗證服務(wù)器和應(yīng)用程序服務(wù)器本身進(jìn)行更改。在許多組織中,更改這些基礎(chǔ)架構(gòu)組件可能已經(jīng)遠(yuǎn)遠(yuǎn)超出了安全團(tuán)隊的責(zé)任范圍,在這種情況下,組織要不擴(kuò)展安全團(tuán)隊的責(zé)任范圍,要不確定具體的項目負(fù)責(zé)人,例如由安全團(tuán)隊負(fù)責(zé),網(wǎng)絡(luò)和應(yīng)用程序維護(hù)團(tuán)隊輔助項目實施。

對于一些企業(yè)而言,零信任的多重職責(zé)和組成部分成為推動它們遷移至DevSecOps(指DevOps全生命周期的安全防護(hù))的激勵因素。將基礎(chǔ)架構(gòu)的每個部門視為要經(jīng)常進(jìn)行身份驗證、監(jiān)控和改進(jìn)的軟件,對于零信任安全性具有非常重要的意義,而且也可以緩解圍繞哪個團(tuán)隊?wèi)?yīng)該負(fù)責(zé)推動變革過程的一系列問題。

2. 建立最小權(quán)限策略

訪問權(quán)限的成本是多少?貴公司是否將其視為訪問表中的一串廉價代碼?盡可能地為用戶提供他們可能需要的權(quán)限,真的比冒險讓他們在職責(zé)擴(kuò)展時遇到訪問拒絕問題更好?如果是這樣,那么當(dāng)你啟用零信任模型時,你的用戶可能需要經(jīng)歷一次嚴(yán)肅的態(tài)度調(diào)整。

最小權(quán)限安全性基于一個非常簡單的概念:當(dāng)用戶僅具有完成其工作所需的訪問權(quán)限時,網(wǎng)絡(luò)(和應(yīng)用程序)基礎(chǔ)架構(gòu)是最安全的。這種特權(quán)管理方式存在諸多好處,其中一個是當(dāng)員工不具備充分的權(quán)限時,其能夠造成的傷害也是有限的。另一個巨大的好處是,即便黑客竊取到這些員工的登錄憑據(jù),其能造成的傷害也是有限的。對于具備低級別權(quán)限的低級別員工來說,如果他們對遠(yuǎn)程網(wǎng)絡(luò)段和應(yīng)用程序的訪問受到限制,那么他們?yōu)榫W(wǎng)絡(luò)接管提供跳板的可能性也要小很多。

對于許多組織來說,想要實現(xiàn)最小權(quán)限可能需要思維上的辨證性轉(zhuǎn)變,因為如果不能完全且謹(jǐn)慎的解釋這種轉(zhuǎn)變背后的原因,它就會變得很尷尬。然而,在零信任架構(gòu)中,最小特權(quán)可以成為限制攻擊者擴(kuò)展攻擊,并在網(wǎng)絡(luò)內(nèi)部造成大規(guī)模破壞能力的有力工具。

3. 最小邏輯單元

這是零信任安全的關(guān)鍵。當(dāng)您將網(wǎng)絡(luò)和應(yīng)用程序基礎(chǔ)架構(gòu)在邏輯上和物理上劃分為非常小的部分時,由于每個從一個網(wǎng)段到另一個網(wǎng)段的傳輸都需要進(jìn)行身份驗證,那么您就能夠?qū)θ肭终呖梢詫嵤┑脑L問權(quán)限進(jìn)行一些非常嚴(yán)格的限制。

組織應(yīng)該同時從邏輯空間和時間上考慮這些小分段。如果用戶(特別是高級特權(quán)用戶。例如管理員)偶爾需要訪問特定系統(tǒng)或功能,則應(yīng)該授予他/她處理問題所需時間的訪問權(quán)限,而不是總能如此。

如果您認(rèn)為自己的網(wǎng)絡(luò)遭到了破壞,那么邏輯響應(yīng)可以盡可能減少這種破壞所造成的損失。將任何單一攻擊限制在單個邏輯段,就可以限制攻擊對整體安全性的威脅。

4. 突出重點,多看多研究

零信任模型實現(xiàn)過程中需要依賴的技術(shù)之一就是“微分段”。在基本網(wǎng)絡(luò)用語中,“分段”是指將以太網(wǎng)劃分為子網(wǎng)絡(luò)(也就是子網(wǎng)),以管理并控制網(wǎng)絡(luò)流量,而不是將所有數(shù)據(jù)包發(fā)送給所有節(jié)點。網(wǎng)絡(luò)分段提供了基礎(chǔ)工具,提升了網(wǎng)絡(luò)性能,并在傳統(tǒng)靜態(tài)網(wǎng)絡(luò)中引入了安全性?!拔⒎侄巍被谶@一基本理念,抽象出新的虛擬化及控制層。使用微分段,數(shù)據(jù)中心被劃分為邏輯單元,這些邏輯單元往往是工作負(fù)載或應(yīng)用。這樣IT能夠針對每個邏輯單元制定獨特的安全策略與規(guī)則。一旦周邊被滲透,微分段能夠顯著減少惡意行為的攻擊面,并限制攻擊的橫向移動。因為,傳統(tǒng)防火墻能夠?qū)崿F(xiàn)常見的縱向防護(hù),但微分段明顯地限制了企業(yè)內(nèi)工作負(fù)載之間不必要的橫向通信。

微分段可以讓你更輕松地掌握網(wǎng)絡(luò)上發(fā)生的任何事情,但是要想知道誰在做什么,前提條件是你首先要觀察得夠多夠仔細(xì)。如果你想要實現(xiàn)零信任安全,就應(yīng)該仔細(xì)研究網(wǎng)絡(luò)行為的許多不同方面。

通過微分段技術(shù),可以比使用傳統(tǒng)的授權(quán)模式更簡單地檢測零信任網(wǎng)絡(luò)。但是為了確定優(yōu)先級問題,我們的重點不在于監(jiān)控何處,而在于監(jiān)控每個分段中的哪些因素。

一旦確定了戰(zhàn)略網(wǎng)絡(luò)段或應(yīng)用程序技術(shù)架構(gòu)組件,就可以建立對網(wǎng)絡(luò)流量和行為的深入審查,而不必?fù)?dān)心淹沒在海量數(shù)據(jù)中,因為你只需要從有限的網(wǎng)段中獲取數(shù)據(jù)即可。但是,一般而言,在監(jiān)控網(wǎng)段時你需要積極一點,以便安全架構(gòu)師可以跟蹤攻擊者和員工行為,并幫助改進(jìn)安全規(guī)則和流程以跟上網(wǎng)絡(luò)發(fā)展的步伐。

5. 添加多因素身份驗證

零信任最大的改變在于將執(zhí)行機(jī)制從單一的網(wǎng)絡(luò)邊界轉(zhuǎn)移到每個目標(biāo)系統(tǒng)和應(yīng)用程序。其重點是驗證用戶的身份以及他們所使用的設(shè)備,而不是基于某人是否從受信或不受信的網(wǎng)絡(luò)中訪問企業(yè)資源的安全策略。

如果對每個網(wǎng)段的身份驗證是整個網(wǎng)絡(luò)安全的關(guān)鍵,那么身份驗證過程就變得至關(guān)重要。這里所說的用戶身份驗證是指強(qiáng)化您所使用的因素,并添加其他因素以使用戶身份識別變得更加確定。

針對用戶所用密碼的調(diào)查結(jié)果總是不可避免地令人失望,像“12345”或“qwerty”這樣的字符串始終位于最常用密碼列表的頂部。因此,第一項任務(wù)就是為組織中的每個人建立強(qiáng)密碼策略,然后切實地執(zhí)行這些策略。

接下來的任務(wù)就是添加多因素身份驗證。如今,多因素身份驗證正變得越來越普遍,但要知道它可是從幾乎為0的市場滲透率發(fā)展起來的,因此許多公司非常愿意嘗試任何比傳統(tǒng)用戶名/密碼更強(qiáng)大的身份驗證方式來強(qiáng)化自身網(wǎng)絡(luò)安全。

6. 保持技術(shù)更新

沒有任何安全模型可以一成不變,成為“設(shè)置完就忘記”的存在。零信任安全當(dāng)然也不例外,相反地,它可能算是最不應(yīng)該被忘記的安全模型之一。這是因為當(dāng)身份驗證在整個方案中發(fā)揮如此重要的作用時,跟上威脅發(fā)展步伐并了解其如何試圖阻止身份驗證方案至關(guān)重要。

除了身份驗證問題之外,安全專業(yè)人員還需要及時了解用于橫向移動和繞過網(wǎng)絡(luò)分段的威脅及機(jī)制。在網(wǎng)絡(luò)安全的世界中,沒有人可以假設(shè)當(dāng)前運行的方法和技術(shù)可以始終有效,因此安全從業(yè)人員需要跟上行業(yè)發(fā)展趨勢,并且花時間分析監(jiān)控中捕獲的事件,以查看網(wǎng)絡(luò)分段中哪些地方已被攻擊者試探,以及哪些地方極有可能被攻擊者攻破。

毫無疑問,零信任安全可以成為信息和資產(chǎn)安全的基礎(chǔ)。但僅僅因為一種方法是有效的,并不意味著它就可以在未經(jīng)慎重思考和規(guī)劃的情況下投入使用。企業(yè)需要根據(jù)自身情況考量上述問題,提前做好計劃,并且記住最重要的一點——不要信任任何人!

經(jīng)典企業(yè)實踐案例:BeyondCorp

作為零信任網(wǎng)絡(luò)的先行者,谷歌花了6年時間才從其VPN和特權(quán)網(wǎng)絡(luò)訪問模式遷移到BeyondCorp零信任環(huán)境。期間谷歌不得不重新定義和調(diào)整其職位角色及分類,建立起全新的主控庫存服務(wù)以跟蹤設(shè)備,并重新設(shè)計用戶身份驗證及訪問控制策略。從2014年起,Google連續(xù)在《login》雜志上發(fā)表了6篇BeyondCorp相關(guān)的論文,全面介紹BeyondCorp和Google從2011年至今的實施經(jīng)驗。

Google將BeyondCorp項目的目標(biāo)設(shè)定為“讓所有Google員工從不受信任的網(wǎng)絡(luò)中不接入VPN就能順利工作”。與傳統(tǒng)的邊界安全模式不同,BeyondCorp摒棄了將網(wǎng)絡(luò)隔離作為防護(hù)敏感資源的主要機(jī)制,取而代之的是,所有的應(yīng)用都部署在公網(wǎng)上,通過用戶與設(shè)備為中心的認(rèn)證與授權(quán)工作流進(jìn)行訪問。這就意味著作為零信任安全架構(gòu)的BeyondCorp,將訪問控制權(quán)從邊界轉(zhuǎn)移到個人設(shè)備與用戶上。因此員工可以實現(xiàn)在任何地點的安全訪問,無需傳統(tǒng)的VPN。

谷歌的零信任安全架構(gòu)涉及復(fù)雜的庫存管理,記錄具體誰擁有網(wǎng)絡(luò)里的哪臺設(shè)備。設(shè)備庫存服務(wù)來從多個系統(tǒng)管理渠道搜集每個設(shè)備的各種實時信息,比如活動目錄(Avvtive Directory)或Puppet。

對于用戶的認(rèn)證則基于一套代表敏感程度的信任層。無論員工使用什么設(shè)備或身處何處,都能得到相應(yīng)的訪問權(quán)限。低層次的訪問不需要對設(shè)備做太嚴(yán)格的審核。

而且,在谷歌網(wǎng)絡(luò)中不存在特權(quán)用戶。谷歌使用安全密鑰進(jìn)行身份管理,比密碼更難偽造。每個入網(wǎng)的設(shè)備都有谷歌頒發(fā)的證書。網(wǎng)絡(luò)的加密則是通過TLS(傳輸層安全協(xié)議)來實現(xiàn)。

除此之外,與傳統(tǒng)的邊界安全模式不同,BeyondCorp不是以用戶的物理登陸地點或來源網(wǎng)絡(luò)作為訪問服務(wù)或工具的判定標(biāo)準(zhǔn),其訪問策略是建立在設(shè)備信息、狀態(tài)和關(guān)聯(lián)用戶的基礎(chǔ)上,更偏向用戶行為和設(shè)備狀態(tài)的分析。

總體來說,谷歌BeyondCorp主要包括三大指導(dǎo)原則:

  • 無邊界設(shè)計——從特定網(wǎng)絡(luò)連接,與你能獲得的服務(wù)沒有關(guān)系;
  • 上下文感知——根據(jù)對用戶與設(shè)備的了解,來授予所獲得的服務(wù);
  • 動態(tài)訪問控制——所有對服務(wù)的訪問必須經(jīng)過認(rèn)證、授權(quán)和加密。

網(wǎng)站標(biāo)題:啟用“零信任”模型前需要解決的6個問題
本文路徑:http://www.dlmjj.cn/article/dpphesp.html