零信任安全模型基礎(chǔ)知識(shí)及其在網(wǎng)絡(luò)安全的部分應(yīng)用

什么是零信任模型？

零信任安全模型的目標(biāo)是通過(guò)強(qiáng)制執(zhí)行“從不信任，始終驗(yàn)證”方法來(lái)保護(hù)企業(yè)網(wǎng)絡(luò)免受訪問(wèn)威脅。您可以通過(guò)確保您的網(wǎng)絡(luò)默認(rèn)不信任任何設(shè)備或用戶來(lái)實(shí)現(xiàn)零信任安全。這意味著您的網(wǎng)絡(luò)不應(yīng)該信任任何實(shí)體，即使它之前已經(jīng)過(guò)驗(yàn)證。

零信任模型對(duì)于現(xiàn)代企業(yè)環(huán)境和復(fù)雜的企業(yè)網(wǎng)絡(luò)特別有價(jià)值。這些環(huán)境通常由眾多互連的部分、移動(dòng)和遠(yuǎn)程連接、基于云的基礎(chǔ)設(shè)施和服務(wù)以及物聯(lián)網(wǎng) (IoT) 設(shè)備組成。

零信任安全提供了各種控制措施，可用于加強(qiáng)現(xiàn)代企業(yè)環(huán)境的安全性，包括相互身份驗(yàn)證技術(shù)：

無(wú)論位置如何，都可以驗(yàn)證設(shè)備的完整性和身份。

除了用戶身份驗(yàn)證和授權(quán)之外，還根據(jù)設(shè)備運(yùn)行狀況和身份信任級(jí)別提供對(duì)服務(wù)和應(yīng)用程序的訪問(wèn)。

零信任模型的優(yōu)缺點(diǎn)

以下是零信任模型的一些優(yōu)點(diǎn)：

減少攻擊面——一旦建立，零信任模型提供比隱式信任方法更好的安全性，特別是在防止網(wǎng)絡(luò)內(nèi)橫向威脅方面。

強(qiáng)大的用戶識(shí)別和訪問(wèn)策略——在零信任的情況下，您應(yīng)該嚴(yán)格管理網(wǎng)絡(luò)內(nèi)的用戶以保護(hù)他們的帳戶。使用多因素身份驗(yàn)證或生物識(shí)別技術(shù)來(lái)確保所有帳戶都得到很好的保護(hù)。將用戶分組到角色中，授予他們?cè)诠ぷ魅蝿?wù)需要時(shí)訪問(wèn)數(shù)據(jù)和帳戶的權(quán)限。

數(shù)據(jù)的智能分段——在零信任模型中，您應(yīng)該根據(jù)敏感性、類型和用途對(duì)數(shù)據(jù)進(jìn)行分段。這種方法提供了一種比所有用戶都可以訪問(wèn)的中央數(shù)據(jù)池更安全的設(shè)置。使用零信任方法，敏感或關(guān)鍵數(shù)據(jù)是安全的，并且您可以減少潛在的攻擊面。

增強(qiáng)的數(shù)據(jù)保護(hù)——零信任保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)，這意味著自動(dòng)備份和散列或加密的消息傳輸。

安全編排——此任務(wù)涉及確保所有安全元素協(xié)同工作。在一個(gè)成功的零信任模型中，沒有任何漏洞未被發(fā)現(xiàn)，并且您的安全方法的組合元素可以很好地協(xié)同工作并且不會(huì)出現(xiàn)不一致。

以下是與零信任策略相關(guān)的一些挑戰(zhàn)：

設(shè)置時(shí)間和精力增加— 當(dāng)您建立零信任方法時(shí)，您需要在現(xiàn)有網(wǎng)絡(luò)中重新組織策略。此過(guò)程可能具有挑戰(zhàn)性，因?yàn)槟木W(wǎng)絡(luò)需要在向零信任過(guò)渡期間正常運(yùn)行。有時(shí)建立一個(gè)新的網(wǎng)絡(luò)更簡(jiǎn)單。如果您的舊系統(tǒng)與零信任框架不兼容，您將需要從頭開始構(gòu)建網(wǎng)絡(luò)。

增加用戶管理工作——您需要使用零信任方法更密切地監(jiān)控用戶，僅在需要時(shí)授予他們?cè)L問(wèn)數(shù)據(jù)的權(quán)限。用戶還可以包括員工、客戶、客戶和第三方供應(yīng)商，這意味著有各種各樣的接入點(diǎn)。使用零信任框架，組織必須為每個(gè)組維護(hù)特定的策略。

需要管理的設(shè)備更多——您不僅需要監(jiān)控用戶，還必須監(jiān)控他們的設(shè)備。每個(gè)設(shè)備可能具有特定的屬性和通信協(xié)議，必須根據(jù)其類型對(duì)其進(jìn)行保護(hù)和監(jiān)控。

復(fù)雜的應(yīng)用程序管理——現(xiàn)代組織使用數(shù)百個(gè)應(yīng)用程序。它們可以是基于云的，用戶可以跨多個(gè)平臺(tái)和設(shè)備訪問(wèn)它們。組織還與第三方共享它們。為了與零信任方法保持一致，您必須根據(jù)安全要求和用戶需求定制、規(guī)劃和監(jiān)控每個(gè)應(yīng)用程序。

更嚴(yán)格的數(shù)據(jù)安全性——數(shù)據(jù)通常存儲(chǔ)在多個(gè)位置，這意味著通常需要保護(hù)多個(gè)站點(diǎn)。您需要根據(jù)最高安全標(biāo)準(zhǔn)設(shè)置和執(zhí)行數(shù)據(jù)安全策略。

幸運(yùn)的是，新技術(shù)正在不斷發(fā)展，有助于應(yīng)對(duì)其中的許多挑戰(zhàn)。在早期，您必須從頭開始構(gòu)建零信任實(shí)現(xiàn)。今天，零信任遠(yuǎn)不是一種商品，但已經(jīng)有成熟的專用解決方案可以幫助您設(shè)置零信任堆棧的重要部分。讓我們回顧一下最重要的。

零信任技術(shù)

微分段

微分段是零信任的基礎(chǔ)技術(shù)。它使您能夠?qū)⒕W(wǎng)絡(luò)拆分為邏輯的、安全的單元。此技術(shù)允許您定義和應(yīng)用策略，以控制網(wǎng)絡(luò)的每個(gè)分段區(qū)域內(nèi)的數(shù)據(jù)和應(yīng)用程序訪問(wèn)和使用。

微分段旨在限制允許從一個(gè)分段遍歷到另一分段的流量。這種類型的限制限制了整個(gè)網(wǎng)絡(luò)的橫向移動(dòng)，從而最大限度地減少了攻擊面。您可以將網(wǎng)絡(luò)微分段應(yīng)用于數(shù)據(jù)中心以及云環(huán)境。在零信任環(huán)境中，所有其他組件都集成了微分段功能，或者它們本身提供了微分段功能，以在每個(gè)有價(jià)值的資產(chǎn)周圍創(chuàng)建一個(gè)安全的微邊界。

安全訪問(wèn)服務(wù)邊緣 (SASE)

SASE 是一種云架構(gòu)模型，它將廣域網(wǎng) (WAN) 功能與安全即服務(wù)功能統(tǒng)一到一個(gè)集中式服務(wù)中。組織可以使用 SASE 將所有安全和網(wǎng)絡(luò)工具集中到一個(gè)管理控制臺(tái)中。

以下是 SASE 的主要優(yōu)勢(shì)：

集中您的網(wǎng)絡(luò)和安全工具。

提供獨(dú)立于用戶和資源位置的訪問(wèn)。

提供可擴(kuò)展且具有成本效益的遠(yuǎn)程訪問(wèn)解決方案，可有效處理安全和網(wǎng)絡(luò)責(zé)任。

擴(kuò)展檢測(cè)和響應(yīng) (XDR)

XDR 工具提供基于 SaaS 的事件響應(yīng)和威脅檢測(cè)功能。XDR 工具將多個(gè)安全產(chǎn)品集成到一個(gè)集中的安全操作系統(tǒng)中。有以供應(yīng)商為中心的 XDR 工具，可在一個(gè)許可證下提供多個(gè)集成組件，而開放式 XDR 工具則專注于數(shù)據(jù)存儲(chǔ)和分析，與現(xiàn)有的安全工具集成。

以下是 XDR 的主要優(yōu)勢(shì)：

集中您的事件檢測(cè)和響應(yīng)能力。

提供整個(gè)技術(shù)環(huán)境中威脅的整體和簡(jiǎn)化視圖。

提供實(shí)時(shí)威脅洞察，可以提高事件補(bǔ)救的速度和效率。

利用人工智能 (AI) 檢測(cè)跨越安全孤島和邊界的規(guī)避威脅。

MITRE ATT&CK 框架

MITRE 是一個(gè)非營(yíng)利組織，提供有關(guān)網(wǎng)絡(luò)威脅的信息，以幫助解決網(wǎng)絡(luò)防御問(wèn)題。作為他們努力的一部分，MITRE 提供對(duì)抗性戰(zhàn)術(shù)、技術(shù)和常識(shí) (ATT&CK) 框架作為免費(fèi)且全球可訪問(wèn)的知識(shí)庫(kù)。

MITRE ATT&CK 框架提供了有關(guān)對(duì)手戰(zhàn)術(shù)和技術(shù)的最新信息。它基于現(xiàn)實(shí)生活中的觀察和不斷發(fā)展的戰(zhàn)術(shù)、技術(shù)和矩陣知識(shí)庫(kù)。組織可以利用該框架來(lái)加強(qiáng)其網(wǎng)絡(luò)安全戰(zhàn)略。

ATT&CK 本身并不是零信任技術(shù)。然而，在零信任環(huán)境中，威脅情報(bào)是智能驗(yàn)證和監(jiān)控用戶連接的關(guān)鍵。這種全面的策略、技術(shù)和程序 (TTP) 集合可以幫助安全系統(tǒng)識(shí)別系統(tǒng)中存在的威脅，并通過(guò)加強(qiáng)網(wǎng)絡(luò)分段和撤銷訪問(wèn)來(lái)自動(dòng)響應(yīng)。

下一代防火墻 (NGFW)

NGFW 是第三代防火墻技術(shù)，您可以將其作為軟件或硬件來(lái)實(shí)施。此防火墻在多個(gè)級(jí)別（包括端口、協(xié)議和應(yīng)用程序）實(shí)施安全策略，以檢測(cè)和阻止復(fù)雜的攻擊。

以下是 NGFW 技術(shù)的顯著功能：

橋接和路由模式

應(yīng)用控制

身份意識(shí)，包括組和用戶控制

集成入侵防御系統(tǒng) (IPS)

與外部情報(bào)來(lái)源整合

NGFW 技術(shù)的獨(dú)特之處在于它可以了解通過(guò)防火墻的不同類型的 Web 應(yīng)用程序流量。它使用此信息來(lái)阻止可能利用漏洞的流量。由于其應(yīng)用程序感知、先進(jìn)的檢測(cè)能力以及與網(wǎng)絡(luò)分段的緊密集成，它在零信任設(shè)置中至關(guān)重要。

身份和訪問(wèn)管理 (IAM)

IAM 提供有助于管理數(shù)字和電子身份的技術(shù)、流程和策略。在零信任設(shè)置中，組織使用 IAM 來(lái)控制用戶對(duì)所有內(nèi)容的訪問(wèn) - 無(wú)論是在他們的公司網(wǎng)絡(luò)內(nèi)、在云環(huán)境中還是在其他地方。

以下是 IAM 的顯著功能，可以為零信任提供安全的分布式訪問(wèn)：

單點(diǎn)登錄 (SSO) 和聯(lián)合身份

特權(quán)訪問(wèn)管理 (PAM)

多重身份驗(yàn)證 (MFA)

IAM 技術(shù)還使您能夠安全地存儲(chǔ)配置文件和身份數(shù)據(jù)。此外，許多工具提供數(shù)據(jù)治理功能來(lái)幫助控制用戶可以訪問(wèn)和共享哪些數(shù)據(jù)，從而為零信任模型增加了另一層保護(hù)。

結(jié)論

在本文中，我解釋了零信任的基礎(chǔ)知識(shí)，并介紹了一系列可以幫助您實(shí)現(xiàn)零信任的成熟技術(shù)：

微分段- 啟用網(wǎng)段的動(dòng)態(tài)隔離以保護(hù)受保護(hù)的資源。

安全訪問(wèn)服務(wù)邊緣 (SASE)– 提供廣域網(wǎng) (WAN) 作為托管服務(wù)，內(nèi)置安全功能。

擴(kuò)展檢測(cè)和響應(yīng) (XDR)– 集中安全數(shù)據(jù)和工具，支持從一個(gè)界面進(jìn)行安全分析、自動(dòng)和手動(dòng)響應(yīng)。

MITRE ATT&CK 框架——提供威脅情報(bào)，可以幫助檢測(cè)先前驗(yàn)證的實(shí)體的惡意活動(dòng)。

下一代防火墻 (NGFW)– 在應(yīng)用層分析和阻止惡意流量并實(shí)施微分段規(guī)則。

身份和訪問(wèn)管理 (IAM)– 支持對(duì)混合環(huán)境中的用戶訪問(wèn)和權(quán)限進(jìn)行細(xì)粒度控制。

零信任實(shí)施遠(yuǎn)非易事。但是我們已經(jīng)過(guò)去了基于手動(dòng)網(wǎng)絡(luò)分段和臨時(shí)授權(quán)方案的自助式工作的早期階段。SASE、NGFW 和 IAM 等組件是新的構(gòu)建塊，它們使零信任安全的實(shí)踐更易于管理、更有效并且不那么不堪重負(fù)。

我希望這將有助于您在混合組織中實(shí)現(xiàn)完全零信任。

審核編輯 黃昊宇