零信任安全的 5 个核心原则

安全资讯 小布 609浏览 0评论

一个零信托架构实现了基于最小特权原则的安全策略。在零信任安全模型下,网络内外的所有系统都被视为潜在威胁,并根据具体情况评估访问请求,以防止未经授权访问公司资源并最大限度地降低网络安全风险。

 

零信任方法

零信任的安全模型是在2010年由John Kindervag,而他是Forrester研究公司的首席分析师从那时起,它已经起飞,并已成为全球企业的一个主要的安全目标。

 

零信任安全模型基于“信任但验证”的概念。从历史上看,安全模型默认信任网络内的任何用户或设备,前提是它已被验证为授权和合法的。在零信任模型下,在授予对公司资源的访问权限之前,每个访问请求都经过独立审查和验证。无论请求来自何处,无论是在公司网络边界内部还是外部,都是如此。

零信任的核心原则是什么?

默认情况下,零信任安全模型将每个用户、设备和应用程序视为对公司的潜在威胁。只有在基于基于角色的访问控制 (RBAC) 和其他上下文数据(例如请求来源、时间戳和用户行为分析)评估请求的合法性之后,才会授予或拒绝访问权限。

 

当组织致力于实施零信任安全模型时,零信任扩展安全模型定义了七个关键原则或重点领域。

 

其中五项原则基于将“默认拒绝”安全态势应用于各种公司资产,包括:

 

  1. 零信任网络:保护传统网络边界对于企业网络安全或零信任安全策略来说是不够的。零信任网络是微分段的,其中边界是围绕公司的每个有价值的资产定义的。在这些边界上,可以执行安全检查和实施访问控制,从而更容易阻止威胁通过网络的横向移动,并控制和隔离潜在的漏洞。
  2. 零信任工作负载:基于云的工作负载,包括容器、功能和虚拟机等资产,是网络犯罪分子的有吸引力的目标,并且具有独特的安全需求。量身定制的、精细的零信任安全监控和访问管理对于保护这些资产至关重要,尤其是在公共云中。
  3. 零信任数据:提高数据安全性是零信任安全策略的主要目标之一。实施零信任需要识别敏感或有价值数据的缓存,映射常见数据流,并根据业务需求定义访问要求。还必须在组织的整个 IT 生态系统中一致地定义和实施这些策略,包括工作站、移动设备、应用程序和数据库服务器以及云部署。
  4. 零信任身份:凭据泄露是数据泄露的主要原因,因此基于用户名和密码的身份验证已不再足够。零信任需要使用多因素身份验证 (MFA) 和零信任网络访问 (ZTNA) 进行强身份验证。
  5. 零信任设备:零信任安全策略包括将连接到公司网络的所有设备视为不受信任和潜在威胁。实施零信任安全需要能够确定设备是否构成威胁并隔离那些受到威胁的设备。

 

另外两个关键原则描述了零信任安全策略的重要功能,包括:

 

  • 可见性和分析:零信任安全策略基于做出明智的访问决策,这需要深入了解在公司设备和网络上执行的活动。有效的零信任安全基于不断监控、记录、关联和分析从整个企业 IT 生态系统收集的数据的分析。
  • 自动化和编排:零信任网络提供了检测企业环境中未经授权和潜在恶意活动的能力。零信任架构必须与企业安全基础架构和 IT 架构集成,以支持快速、自动化和可扩展的事件响应、安全审计、威胁搜寻和任务委派。

实现绝对零信任安全

有效的零信任安全策略是在组织的整个 IT 生态系统中始终如一地执行的策略。否则,网络威胁可以利用执法漏洞来未经授权访问公司资源。

 

尝试使用一系列不同且独立的安全技术来实现零信任可能会产生这些危险的安全漏洞。网络上提供了很多基于整合的安全基础设施实施零信任的整体和集成方法。

转载请注明:布尔云安的博客 » 零信任安全的 5 个核心原则

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址