?

如何打造一个“零信任”网络

零信任网络能提供更好的数据泄露防护,但通往零信任网络的道路却困难曲折。零信任模型的核心思想,是网络边界内外的任何东西,在没经过验证之前都不予信任。用传统安全方法挡不住数据泄露的公司企业目前越来越关注零信任网络模型了。

零信任

但是,想要实现该模型的公司企业,首先就需要抛弃长期以来深植于内部人可信和公司网络可信思维基础上的那些操作。

零信任模型

2010年,佛瑞斯特研究所构造了“零信任”这个术语,用以描述尝试连接网络资产的任何用户和任何设备都被当成不可信对象处理的一种安全模型。该模型突出设备凭证和用户凭证的使用,而不以网络位置来作为允许或拒绝网络资产访问的基础。

佛瑞斯特和其他业内人士宣称,零信任方法可防止攻击者在突破网络边界后藏身网络内部继续摸查高价值目标。因为传统安全控制和数据泄露预防工具无法发现,使用被盗凭证的外部攻击者所做的恶意活动。因为,他可以自由来去。最近几年数据泄露事件大量爆发,问题的根源,在于公司企业长期以来所持有的隐式信任用户和内网流量的做法。只将外部用户当做不可信对象加以验证,怎么能防住日益严重的内部人威胁呢?

黑客攻击者还不是唯一的问题。移动办公和云服务托管的增长,也令很多公司企业难以确立起网络边界。传统筑起边界长城守护内部资源的安全方法,随着企业数据的分散化和数据访问方式的多样化而不再有效。

信任是个危险的漏洞,容易被攻击者利用。用户和网络分为可信及不可信的观念,是公司企业首先需要抛弃的。

零信任概念中,任何人、任何设备、任何网络都不可信。必须要摒弃“人以网分”的想法,将注意力集中在网络中四处流通的数据包上。要监视所有流量,而不仅仅是外部流量。

漫漫零信任路

实现零信任网络可能会很困难。作为零信任网络的先行者,谷歌花了6年时间才从其VPN和特权网络访问模式迁移到BeyondCorp零信任环境。期间谷歌不得不重新定义和调整其职位角色及分类,建立起全新的主控库存服务以跟踪设备,提升App可见性,并翻新用户身份验证及访问控制策略。从董事会层面自顶向下地支持并推进零信任网络建设。

迈向零信任之路时应遵循的一条关键原则是,在被验证可信之前,任何人任何设备都不能访问内部资源。网络本身不可以确定用户可以访问哪些服务。

赋予用户的信任,不能基于用户尝试访问公司应用的位置——公司网络边界内部或外部,而应基于用户信息、设备信息和所访问的资源。

重点应放在安全验证用户、知晓用户角色及访问权限,以及能够识别出异常用户/设备行为上。这也意味着要能够安全验证设备,识别设备使用上下文,并确保对设备应用了全部该有的安全控制措施。在这样的环境中,多因子身份验证(MFA)和用户及实体行为分析(UEBA)之类的功能,是确立用户信任的关键。零信任的目标,就是转换到“从不信任,总是验证”的模式。

从内而外设计安全

规划零信任时,切记不能像当前大多数企业所做的那样由外而内地设计安全,而应由内而外地规划。应少考虑攻击界面,而更多地关注“防护界面”——公司实际需要保护的数字资产。

应以将安全及访问控制措施尽可能地贴近防护界面为目标,而不应将这些防护措施远远安置在网络边界。人们常将网络分隔与零信任搞混,但如果我们不知道防护界面,那还做网络分隔干什么呢?

为实现零信任环境,内容分发网络公司阿卡迈已清除了其企业边界。这是因为用户位置已不再能够赋予用户信任度了。

今年晚些时候,阿卡迈还将下架远程员工的所有VPN访问,彻底弃用口令也就在不远的将来。想要访问该公司应用和系统的任何人——包括该公司员工,都会被当成来宾先进行验证。只有通过了用户验证、访问权限验证和设备验证,才会被赋予信任。

安全边界仍然围绕个人设备展开,但企业边界背后的特权网络概念就已落伍。零信任模型比以边界为中心的方法更能提供统一又安全的企业资产访问。

在零信任之路上,没什么东西比可见性更重要的了。可见性是关键第一步,是创建整个策略的基石。阿卡迈启动零信任迁移时所做的第一步工作,就是为其所有应用和设备建立其全面的库存清单。

相关推荐
新闻聚焦
猜你喜欢
热门推荐
  • 微软AI面试题有多难?这里有一份样卷

      究竟什么样的AI人才能被微软这样的巨头聘用呢?今天,文摘君就淘来了几道微软AI 面试题,同时给出了最基本的解答......

    06-25????来源:澎湃新闻网

    分享
  • 全球最聪明的大脑怎么看AI?他们预测了

      2017年AI领域取得了诸多成果。2018年AI又将何去何从?以下是来自世界顶级研究人员和行业领军人物对2018年AI领域发展作......

    02-20????来源:虎嗅网

    分享
  • 2017JavaScript框架战报 - React分战场

      我们来看看与React有关的软件包的生态系统。当Facebook构建React时,就有许多来自开源社区的第三方软件包。为提供完......

    02-27????来源:湖北新闻网

    分享
  • 小白学数据:教你用Python实现简单监督学

      监督学习作为运用最广泛的机器学习方法,一直以来都是从数据挖掘信息的重要手段。即便是在无监督学习兴起的近......

    03-05????来源:今日头条

    分享
  • 现代编程语言Swift、Kotlin等十大有趣功能

      最近学习了一些现代编程语言,比如Reason,Swift,Kotlin和Dart。这些编程语言提供了许多新功能,本文主要分享了我认......

    04-29????来源:祁东新闻网

    分享
  • 领域场景分析的6W模型

      组成场景的要素常常被称之为6W模型,即描写场景的过程必须包含Who,What,Why,Where,When与hoW这六个要素。......

    04-30????来源:砍柴网

    分享
  • 开源应用服务器WildFly 12发新季度交付模式

      WildFly 12 Final版本现在已经可以下载了,WildFly是一款灵活的开源应用服务器,支持开发人员构建轻量级应用程序。支持......

    05-10????来源:青岛新闻网

    分享
  • 基于Spring Cloud的微服务落地

      微服务架构模式的核心在于如何识别服务的边界,设计出合理的微服务。但如果要将微服务架构运用到生产项目上,......

    06-04????来源:广西新闻网

    分享
  • 为什么阿里工程师纷纷在内网晒代码?

      前阵子,在阿里一个小黑屋里,5名对代码有着极致追求的工程师参与阿里代码领域最高荣誉“多隆奖”的最终角逐。......

    06-08????来源:四川新闻网

    分享
  • 超级大汇总!200多个最好的机器学习、

      我把这篇文章分为了四个部分:机器学习,自然语言处理,python和数学。在每个部分中我都列举了一些主题,但是因......

    09-25????来源:洛阳新闻网

    分享
返回列表
Ctrl+D?将本页面保存为书签,全面了解最新资讯,方便快捷。