行業(yè)動態(tài)

創(chuàng)建和管理零信任安全框架

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-11-11    瀏覽次數(shù):
 

信息來源:51cto

傳統(tǒng)安全機(jī)制假定網(wǎng)絡(luò)內(nèi)的身份和設(shè)備可以被信任,而零信任安全模型則是基于:默認(rèn)情況下任何內(nèi)部或外部用戶或設(shè)備都不可信任。

這種零信任概念由Forrester Research于2010年首次提出。在谷歌和思科部署零信任概念之后,這種身份驗(yàn)證和授權(quán)方法開始逐漸普及。

零信任是身份和訪問管理(IAM)中的關(guān)鍵概念,其結(jié)構(gòu)旨在限制黑客對企業(yè)網(wǎng)絡(luò)的訪問。

 

愛爾蘭厄爾斯特大學(xué)電氣與電子工程師協(xié)會(IEEE)高級成員兼網(wǎng)絡(luò)安全教授Kevin Curran說:“對零信任安全模型的需求之所以出現(xiàn),部分原因在于企業(yè)不再傾向于在內(nèi)部托管數(shù)據(jù),而是通過各種平臺和服務(wù)來托管數(shù)據(jù),這些平臺和服務(wù)駐留在企業(yè)內(nèi)部和外部,并且大量員工和合作伙伴從不同地理位置通過各種設(shè)備來訪問應(yīng)用程序?!?

Curran稱,簡而言之,“傳統(tǒng)的安全模型已不再適用”。

在本文中,Curran解釋了企業(yè)如何開始部署零信任模型,并探討零信任安全框架相關(guān)的挑戰(zhàn)。

企業(yè)應(yīng)該如何創(chuàng)建和更新零信任安全框架?

Kevin Curran:為了使零信任安全有效,這里需要新的方法,例如基于用戶和位置進(jìn)行網(wǎng)絡(luò)分段或微分段。零信任要求部署身份和訪問管理、下一代防火墻、業(yè)務(wù)流程編排、多因素身份驗(yàn)證(MFA)和文件系統(tǒng)權(quán)限。

企業(yè)可通過以下方式部署零信任安全框架:

1、更新網(wǎng)絡(luò)安全策略。應(yīng)定期檢查和審核安全策略中是否存在漏洞,并進(jìn)行測試。

2、驗(yàn)證每個(gè)登陸到網(wǎng)絡(luò)的設(shè)備。這通過強(qiáng)大的身份驗(yàn)證機(jī)制強(qiáng)制執(zhí)行,對每個(gè)用戶采用最小特權(quán)原則也很重要。

3、部署網(wǎng)絡(luò)分段。各種網(wǎng)絡(luò)、外圍和微分段將幫助保護(hù)網(wǎng)絡(luò)。

4、多因素身份驗(yàn)證。在身份驗(yàn)證中,每個(gè)用戶都必須額外的身份驗(yàn)證步驟。

5、定期檢查用戶訪問權(quán)限。這可防止受驗(yàn)證用戶中出現(xiàn)授權(quán)過期的情況。

零信任安全模型有哪些挑戰(zhàn)?

Curran:這種零信任安全框架依賴于強(qiáng)大的管理流程,以保護(hù)企業(yè)IT環(huán)境的安全-這里存在很多挑戰(zhàn),因?yàn)樵诤芏嗲闆r下,這迫使企業(yè)在整個(gè)企業(yè)中強(qiáng)制部署新流程,而這絕非易事。

另一個(gè)挑戰(zhàn)是,員工可能不會好心地承擔(dān)訪問計(jì)算機(jī)的額外負(fù)擔(dān),以及最低特權(quán)原則所強(qiáng)制的降低的訪問級別。

這里需要企業(yè)改變員工思維定勢,特別是對于經(jīng)驗(yàn)豐富的員工。這里還需要在安全方面進(jìn)行體制改革,同時(shí)需要在技術(shù)領(lǐng)域付出很多努力,例如推出微分段,這要求重新配置IP數(shù)據(jù)以確保在日常環(huán)境中不會出現(xiàn)中斷。這就是從一開始就應(yīng)該讓CISO、CIO和高級管理層參與進(jìn)來以確保成功的原因。

 
 

上一篇:從下一代攻擊者畫像看下一代安全

下一篇:蘋果修復(fù)macOS Mail加密郵件文本可讀的漏洞