零信任安全架构应如何落地?

过去,我们认为企业如同一座被城墙(防火墙)、护城河(DMZ)和吊桥(访问控制)层层防护起来的坚固城池,但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下,零信任理念已经逐渐成为解决网络安全问题的重要推手。

iSMG最近发布的《2022年零信任策略报告》显示:绝大多数受访者都表示零信任对于降低网络安全风险至关重要;近一半(46%)的受访者表示零信任是2022年最重要的安全实践。

此外,Forrester的另一项面向300余家大型企业的调查报告也显示:78%的安全高管均计划在今年增加对零信任的使用力度。

尽管零信任是大多数网络安全团队的首选,但其实际落地却不尽乐观。在Forrester所调查的企业中,能够全面部署零信任的企业所占比例仅为6%;另有30%的受访者表示只是在企业局部部署了零信任;还有63%的受访者表示,其企业内部对零信任项目现仍于评估、规划或试点阶段。

2021年5月,美国政府在改善国家网络安全的行政令中要求政府机构要采用零信任方案,政令发布后,美国行政管理和预算办公室(英文简称:OMB)随即发布了如何推进零信任架构落地的战略方案,此外,接二连三,CISA在去年秋季发布了《零信任成熟度模型》、NIST发布了白皮书《零信任架构规划》,其中,《零信任架构规划》阐述了如何利用网络安全框架(CSF)和NIST风险管理框架(RMF,SP800–37)来助力企业顺利迁移升级为零信任架构。

以下是上述国外应对零信任架构实际落地的五个优秀实践总结,供读者了解、参考:

1. 明了需要保护哪些层面

安全风险评估应从攻击者角度出发。例如,企业安全团队最常关注的潜在攻击面有:

  • 安全边界在哪?
  • 外部人员将会如何闯入?
  • 有什么潜在的方法可以闯入?

NIST的《零信任架构规划》给出的建议是,建立安全防护需要先从数据和应用程序出发,应先分析价最高、风险最大的数据信息和资产。因为保护面比攻击面的范围和边界要小得多。

当在零信任架构中,找不到任何需要保护的边界时,企业可以在资产周围设置“微边界”,通过微边界,企业用户可以全面的了解和控制,何人在何地、何时,通过何种手段进行了访问。

因此,企业可以根据业务的重要等级,来确定受保护对象的重要性和优先级。先确定最关键的应用程序,然后再确定次重要的。层层递减,如此便可实现对所有应用程序的等级保护。

2. 提高可见性

CISA在《零信任成熟度模型》中表示,企业在围绕身份、设备、网络、应用程序和数据等执行点实施零信任时,实现可见性,即全面的了解一切资产如何相互连接是执行上述策略的基础。

用户、设备和服务都需要连接到数据中心。如果企业不了解该环境的运作方式,就试图强制执行零信任,则会使该环境变得更复杂,从而导致安全缺口或工作流程中断。在保证了可见性之后,企业就可以清晰的了解到应采取怎样的可信执行策略。

3. 构建新边界:微隔离

NIST在《零信任架构》中表示,与传统防护手段相同,零信任理念保证数据中心安全的前提也是确保网络环境和周边环境安全。但差别在于如何在数据中心创建“微边界”(micro-boundary),零信任要求只有通过审核标准的流量才能通过。

因此在构建零信任架构时,网段和边界相比传统模式会变得更小。因此,微隔离策略应与现有的网络架构相脱离,并要具被灵活的扩展功能。

此外,在部署零信任架构时,允许访问的列表要基于策略,而不是基于IP地址。这项工作十分繁重,传统通过人工的方式无法解决,而零信任网络访问解决方案则使用机器学习(ML) 或人工智能(AI)来了解流量模式和访问逻辑,以帮助企业创建自动访问策略。

4. 做好身份管理

无论企业选择部署哪种框架或模型,身份都是零信任安全的基础,都需要身份来源认证和基于角色的访问控制等关键组件。身份来源不仅要包含用户的身份,还要包括服务帐户、应用程序会话、暂时身份和云资产。

零信任要求在提供安全访问之前先验证身份,这对于科学等传统解决方案是不可能实现的。软件定义边界(Software-Defined Perimeter,简称“SDP”)或零信任架构不仅仅验证IP地址,还在授予访问权限之前,根据设备状态、位置、时间、角色和权限来持续评估安全风险。

此外,随着数字足迹的大小和形状发生变化,我们不再拥有“数字网络”或“数字服务”。不过,我们现在拥有不断扩展的“数字生态系统”。假设企业在获得这些新渠道、效率或敏捷性的同时希望保持安全,那就需要采用零信任架构。

零信任模型可确保全面的审计跟踪,基于身份的零信任会持续监控所有用户对系统中任何资源的每个访问请求,无论在本地还是在云端。每当身份(人或机器)试图访问资产时,都会根据其在会话期间的行为及其他上下文参数执行风险分析。更加便于合规策略的执行。

5. 缩小攻击面

尽力缩小攻击面是减少风险暴露、降低安全事件发生的关键。

在企业内部,零信任理念的微隔离方法在提供了安全连接授权资源的便利的同时,也确保了任何身份未经授权的资产都是不可见、不可访问的。这减少了横向移动,进一步降低了内部威胁。

此外,我们也可以在企业外部运用零信任理念,以防范外部网络威胁和攻击。比如,移动办公的员工经常面临网络钓鱼攻击。要减少诸如此类的攻击面,我们只需做好这几项工作:主动了解数字足迹(如上所述)、监控通讯渠道以寻找攻击指标(最好结合威胁情报),以及迅速应对已识别的威胁(包括打补丁)。

参考链接:https://hackernoon.com/how-do-i-adopt-the-zero-trust-framework

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/140945.html<

(0)
管理的头像管理
上一篇2025-03-04 04:28
下一篇 2025-03-04 04:29

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注