零信任架构

安全资讯 小布 282浏览 0评论

零信任安全架构旨在通过消除组织 IT 基础设施内的隐性信任来降低网络安全风险。使用零信任安全模型,根据特定用户在组织中的角色分配给特定用户的访问权限和权限来授予或拒绝对公司资源的访问权限。

采取“信任但验证”的方法

从历史上看,许多组织都有一个以边界为中心的安全模型。该模型类似于城堡的模型,其中围墙将潜在的攻击者拒之门外,而围墙内的一切都被认为是“受信任的”。在此安全模型下,网络安全防御部署在网络外围并检查入站和出站流量,以在潜在威胁对组织造成损害之前阻止它们。

 

但是,这种安全模型有其问题。就像城堡一样,如果边界内的某个人是威胁,那么防御系统就无法对其提供保护。此外,受保护网络边界之外的任何资源——包括组织的云基础设施、远程工作人员等——根本不受保护。

 

一个零信任安全模型的目的是消除与基于边界的   模型相关联的安全风险。不是盲目信任边界内的任何人,而是根据具体情况授予访问请求。这些决策基于基于角色的访问控制,其中用户或应用程序的权限源自他们在组织内的角色和职责。

零信任架构背后的技术

零信任安全策略将管理用户访问的过程分为两个阶段:

  • 用户认证:零信任架构建立在强用户身份验证的概念上。基于角色的访问控制与用户身份相关联,因此严格验证用户身份至关重要。
  • 访问管理:在验证用户身份后,需要确保用户有权访问资源。这包括确保无法绕过访问控制,这将允许对资源的未授权访问。

实现零信任架构需要一些技术:

  • 身份和访问管理 (IAM): IAM 解决方案旨在定义和管理与企业网络内的用户帐户关联的权限。IAM 解决方案在零信任架构中决定是允许还是拒绝访问请求。
  • 多重身份验证 (MFA):基于密码的身份验证是不安全的,因为通常使用弱密码或重复使用的密码,并且凭据泄露的可能性很高。零信任架构中的强用户认证需要 MFA 来确保用户身份。
  • 端点保护:受到威胁的端点可能允许攻击者使用授权用户的会话来访问受保护的资源。强大的端点安全性对于防止帐户遭到入侵至关重要。
  • 零信任网络访问 (ZTNA):远程办公正变得越来越普遍,因此有必要将零信任作为安全远程访问的一部分来实施。ZTNA技术支持持续监控并将零信任架构的原则应用于远程连接。
  • 微分段:基于边界的网络防火墙不足以实现零信任安全。内部网络分段对于在企业网络内实施零信任策略至关重要。
  • 可见性和分析:零信任架构包括持续监控、关联和分析日志以获取入侵迹象的组件,例如网络钓鱼、受损凭据等)。

零信任安全的主要好处

零信任安全旨在通过实施基于角色的访问控制策略、微分段和监控来限制对公司资源的未授权访问。这为组织提供了许多好处,包括:

  • 降低网络安全风险:网络犯罪分子很少能立即访问他们的目标,相反,他们必须从最初的入口点横向穿过网络到达目标。零信任安全通过限制任何帐户对网络资源的访问,使这种横向移动更加困难。这使得攻击更容易被检测并降低攻击者成功的可能性。
  • 提高网络可见性:借助以边界为中心的安全模型,组织可以在很大程度上了解网络边界的网络流量。通过微分段实施的零信任架构,它可以实现更细粒度的可见性。这既可以改进对网络攻击的检测,也可以帮助进行网络优化。
  • 简化的法规遵从性:数据保护法规通常要求组织证明对敏感数据的访问是基于需要知道的。借助零信任架构,组织可以轻松实施这些访问控制并向监管机构证明合规性。

部署零信任安全

实施零信任安全可以显着降低组织的网络风险。此外,此模型有助于改进威胁检测并提高对组织内部网络的可见性。

转载请注明:布尔云安的博客 » 零信任架构

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址