什么是零信任安全?一个简介指南
零信任是一种积极的防御策略,这就是为什么支持它的技术在面对日益增加的安全问题时得到了更广泛的应用。
话虽如此,在谈论网络安全时,信任已经成为了中心话题。网络安全的基本要素包括“可信任”的网络基础设施、用户、设备或终端点、供应商等。
毫无疑问,这种方法在保护企业、其数据甚至个人方面起到了至关重要的作用。但随着我们进入更加技术先进的世界,这种方法由于以下原因长期以来一直被网络攻击者所利用:
- 弱安全模型或“城堡与壕沟”概念,安全筛查发生在企业运营建筑物的围墙外部。如果黑客或恶意软件设法突破这个围墙并进入,就会造成损害。
- 过时的访问控制,例如没有对用户的应用程序和/或服务进行可见性或控制的网络防火墙。如果黑客入侵网络,他们可以轻松访问这些应用程序。
- VPN技术非常适用于保护数据通信和保持机密性和隐私性,但授权和身份验证仍然没有完美实现。
- 工作流程的变化,如BYOD政策和远程工作者使用自己的设备。如果没有实施适当的安全系统,就会发生数据泄露。
所有这些组织面临的安全挑战导致了这样一个灵活、动态、简单且能够提供高水平安全保障的系统的建立。
这就是我们所说的零信任安全模型。
在本文中,您将了解有关零信任安全、其原则、如何实施以及其他一些有趣的事情。
让我们来探索一下!
什么是零信任?
零信任是一种先进的安全方法,要求组织内外的所有用户在被授予访问网络、数据和应用程序的权限之前,必须持续进行授权、身份验证和验证其安全状况和配置。
这种方法利用高端安全技术,包括多因素身份验证、下一代终端安全和身份与访问管理(IAM),以验证用户身份并保持严格的安全性。
除了提供严格的用户身份验证,零信任还保护用户和应用程序免受复杂的internet threats攻击。
“零信任”一词是由福雷斯特的约翰·金德瓦格(John Kindervag)推广的,但实际上是由斯蒂芬·保罗·马什(Stephen Paul Marsh)于1994年4月在斯特灵大学进行计算安全论文后创造的。
事实上,零信任的大部分概念并不新鲜。根据马什的研究,信任是有限的,超越了道德、伦理、正义、判断和合法性等人类方面。根据他的观点,信任可以被描述为一种数学构造。
零信任旨在传播这样一个观点,即组织不应默认信任设备或用户,即使它们连接到其企业局域网或先前已验证。它依赖于实时清晰地看到用户属性,例如用户身份、固件版本、终端硬件类型、操作系统版本、漏洞、补丁级别、用户登录、已安装的应用程序、incident detections等等。
由于其强大的安全能力,零信任变得越来越有名,组织开始采用它,包括谷歌的BeyondCorp项目。
驱动这种采用的主要因素是针对终端点、本地设备、网络、数据、云应用和其他IT基础设施的网络攻击频率越来越高。此外,新冠疫情迫使人们在家工作,进一步增加了全球范围内的在线攻击数量。
因此,诸如零信任之类的安全实践似乎是一个可行的选择。
report表示,预计到2026年,零信任安全的全球市场规模将以17.4%的复合年增长率增长,从2020年的196亿美元增长到516亿美元。
一些受欢迎的零信任访问术语包括零信任应用访问(ZTAA),零信任网络访问(ZTNA),零信任身份保护(ZTIP)等。
零信任的核心原则是什么?
零信任安全概念基于以下原则,通过这些原则帮助保护组织的网络安全。
最小权限访问🔐
这是一个基本概念,用户只能在必要时获得所需的访问权限来工作和履行其角色。它可以减少用户对网络敏感部件的暴露。
用户身份识别✔️
您应该知道谁获得了对您的网络、应用程序、数据等的访问权限。始终检查每个访问请求的身份验证和授权,以维护组织中更强的安全性。
微分区🍱
这是一个重要的实践,您需要将安全边界分割成更小的区域。这个过程也称为分区,它的目的是确保为您网络的不同部分提供单独的访问权限。
您还需要在这些区域之间持续管理和监控数据,并提供细粒度的访问控制以消除过多的权限。
利用先进的预防技术🛑
零信任建议您采用先进的预防技术,可以阻止在线入侵并减少损害。
多因素身份验证(MFA)是一种确认用户身份并加强网络安全的技术。它通过向用户提问安全问题、发送短信/电子邮件确认信息或通过基于逻辑的练习评估用户来工作。您在网络中加入的身份验证点越多,您的组织的安全性就越强。
实时监控设备访问👁️
除了控制用户访问权限外,您还需要实时监控和控制设备访问权限,了解有多少设备正在寻求进入您的网络。所有这些设备都必须经过授权,以最小化攻击可能性。
它有哪些好处?
零信任为组织的安全和网络弹性提供了坚固的策略。它为您的业务提供了多个好处,例如:
防范外部和内部威胁
零信任提供严格的政策,以阻止外部威胁,保护您的业务,并保护您免受有害的内部人员的侵害。实际上,内部威胁甚至更为严重,它们利用您对他们的信任。
Verizon report表示,大约30%的数据泄露涉及内部人员。
因此,零信任专注于“永不信任,始终验证”的概念。
当您实施扩展和明确的身份验证以及监控和验证对数据、设备、服务器和应用程序的每次访问时,没有内部人员能够滥用其权限。
数据保护
零信任帮助您防止供应商、合作伙伴或员工访问您网络的更大部分。因此,限制他们的访问和访问持续时间有助于减少攻击,即使发生漏洞,也可以减少影响以防止更多的损害。
由此,您可以保护您的业务数据免受黑客攻击。当恶意软件入侵您的firewall时,它只能在有时间限制的情况下访问您数据的某些部分。
零信任不仅保护您的数据,还保护您的知识产权和客户的数据。当您能够防止攻击时,您就能维护您的企业声誉并保持客户的信任。除此之外,您还能避免损失大量资金和其他财务影响。
更好地了解您的网络
由于零信任不允许您信任任何事物或任何人,您可以决定要监视的活动和资源。通过对您的组织进行全面监控,包括计算资源和数据,您可以完全了解被授予访问您的网络的设备和用户。
因此,您将充分了解与每个访问请求相关的应用程序、用户、位置和时间。一旦发现异常行为,您的安全基础设施将立即标记并跟踪所有实时发生的活动,以实现全面的安全性。
保护远程劳动力
Remote work在各行各业和各企业中得到广泛接受,尤其是在新冠疫情之后。这也增加了因员工在世界任何地方工作的设备和网络上存在弱安全实践而导致的网络风险和漏洞。防火墙甚至变得无效,给存储在云端的数据带来风险。
通过利用零信任,在每个层次上进行用户识别和验证,取代了边界概念或城堡和护城河方法。身份与希望进入网络的每个设备、用户和应用程序相关联。
这样,零信任可以为您的全体员工提供强大的保护,无论他们位于世界何处,或者他们的数据存储在何处。
简化IT管理
零信任安全依赖于持续的监控、控制和分析;因此,使用自动化可以简化评估访问请求的过程。因为如果一切都是手动完成,批准每个请求将耗费大量时间,工作流程将大幅放缓,影响业务目标和收入。
但是,如果您使用特权访问管理(PAM)等自动化工具,它可以根据某些安全标识符判断访问请求,从而自动授权访问。因此,您不必非得让您的IT团队批准每个请求,从而避免了一些人为错误。
当系统标记某个请求为可疑时,管理员可以接管。通过这种方式,您可以利用自动化的力量,让您的员工参与改进和创新,而不是做繁琐的任务。
确保合规性
由于每个访问请求首先经过评估,然后记录详细信息,零信任始终帮助您保持合规性。系统跟踪每个请求的时间、应用程序和位置,以创建无缺陷的审计日志,形成一系列证据。
因此,您无需努力维护或提供证据,使治理更高效、更快捷。同时,您与合规风险相距甚远。
如何实施零信任?
每个组织都有独特的需求和挑战,但某些方面对每个组织都是共同的。这就是为什么无论企业的类型和行业如何,都可以在各个组织中实施零信任。
因此,以下是您如何在组织中实施零信任安全的方法。
识别敏感数据
当您知道自己拥有何种类型的敏感数据,以及它在何处如何流动时,这将有助于确定最佳的安全策略。
除此之外,还需识别您的资产、服务和应用程序。您还需要检查当前基础设施中可能存在的安全漏洞。
- 给予最高级别的保护,确保您最关键的数据和资产不受损害。
- 另一个可实施的方法是将数据分类为:机密、内部和公开。您可以利用微分区或划分区域。此外,为不同区域创建小数据块,连接到一个扩展生态系统的网络中。
制定数据流程图
评估数据在网络中的流动方式,包括可能是多方向的交易流动。这有助于鼓励数据流优化和微型网络的创建。
此外,要记住敏感数据的位置以及所有用户可以访问的意识,并实施更严格的安全措施。
建立零信任微型网络
当您了解网络中敏感数据的流动方式时,为每个数据流创建微型网络。将它们架构成适用于每个用例的最佳安全实践。
在此步骤中,可以使用虚拟和物理安全控制,例如:
- 强制执行微型边界以防止未经授权的横向移动。您可以根据位置、用户组、应用程序等将组织划分为不同部分。
- 引入多因素认证,如双因素认证(2FA)或三因素认证(3FA)。这些安全控制为组织内外的每个用户提供了额外的安全层和验证。
- 对需要完成任务和履行职责的用户引入最小权限访问。它必须基于敏感数据存储和流动的位置。
持续监控零信任系统
持续监控整个网络和微型边界生态系统,检查、记录和分析每个数据、流量和活动。利用这些详细信息,您可以找出恶意活动及其来源,以加强安全性。
这将为您提供更广泛的视角,了解安全性的维护情况以及零信任对您的网络是否有效。
利用自动化工具和编排系统
借助自动化工具和编排系统,自动化流程,以充分利用您的零信任实施。这将帮助您节省时间,并降低组织缺陷或人为错误的风险。
现在您对零信任有了更好的了解,知道它是如何工作、如何实施以及其好处,让我们看一些可以帮助您更轻松实施的工具。
零信任安全解决方案有哪些?
许多供应商提供零信任解决方案,例如Akamai、Palo Alto、Cisco、Illumio、Okta、Unisys、Symantec、Appgate SDP等。
零信任网络解决方案或软件是一种身份管理和网络安全解决方案,可以帮助您实施零信任模型。该软件允许您连续监控您的网络活动和用户行为,并对每个请求进行身份验证。
如果用户试图违反权限或行为异常,系统将提示他们提供更多的身份验证。同时,软件从流量日志、用户行为和访问点收集数据,提供详细的分析。
该软件可能会使用基于风险的身份验证,特别用于控制网络访问。以下是一些链接:
- Okta: 它利用云计算并执行更强的安全策略。该软件与您组织的现有身份系统和目录以及4000多个应用程序集成。
- Perimeter 81: 它使用强大的软件定义周界体系结构,提供更广泛的网络可见性,完全兼容性,无缝入职,并提供256位的银行级加密。
- SecureAuth Identity Management: 它以提供灵活和安全的身份验证体验而闻名,并可在所有环境中使用。
其他值得注意的零信任网络软件解决方案包括BetterCloud,Centrify零信任特权,DuoSecurity,NetMotion和more。
实施零信任时面临的挑战是什么?
实施零信任对组织来说是具有挑战性的原因有很多,包括:
- 传统系统:许多传统系统,如工具、应用程序、网络资源和协议,都用于业务运营。身份验证不能保护所有这些系统,并且重新架构它们将非常昂贵。
- 有限的控制和可见性:大多数组织缺乏对其网络和用户的全面可见性,或者由于各种原因无法对其设置严格的协议。
- 法规:监管机构尚未采用零信任,因此,组织在通过符合性安全审核时将面临困扰。
例如,PCI-DSS要求您使用分段和防火墙来保护敏感数据。但是,在零信任模型中,您没有防火墙,因此存在符合性风险。因此,如果要采用零信任安全,法规必须进行重大修改。
结论
虽然零信任还处于发展阶段,但在安全行业引起了轰动。随着越来越多的cyberattacks across the globe,我们需要像零信任这样的强大系统。
零信任通过在每个访问点验证所有设备和用户,为您的数据和交易提供更强大的安全架构和身份验证控制。它可以保护组织免受各种在线威胁-无论是人类还是程序,是国外还是国内对您的网络。