什么是零信任網(wǎng)絡(luò)的可信時間，為什么它很重要

什么是零信任？

如果您是推出零信任架構(gòu)的公司的 IT 專業(yè)人員，您可能非常了解零信任在您的世界中意味著什么。從更廣泛的角度來看，以下是需要考慮的兩個主要概念：

零信任：一種網(wǎng)絡(luò)安全范式，從不隱含授予信任

零信任架構(gòu)：企業(yè)資源和數(shù)據(jù)安全的端到端方法

零信任的座右銘是“永不信任，始終驗(yàn)證”。這幾乎可以總結(jié)它。

如果您的組織正在推出零信任，則可能會從用戶的身份和訪問管理 （IAM） 開始。從那里，它轉(zhuǎn)移到連接到網(wǎng)絡(luò)的設(shè)備，然后通過實(shí)施微分段等策略轉(zhuǎn)移到網(wǎng)絡(luò)本身，然后轉(zhuǎn)向自動化和分析。這些被稱為零信任模型的“支柱”。

零信任體系結(jié)構(gòu)是從基于邊界的安全模型遷移到網(wǎng)絡(luò)上的每個人和設(shè)備都經(jīng)過端到端身份驗(yàn)證和授權(quán)的安全模型。如果您的公司已經(jīng)走上了這條道路，這不是新聞。不過，可能是新聞的是可信時間?在零信任網(wǎng)絡(luò)中發(fā)揮的關(guān)鍵作用。讓我們首先從為什么時間很重要開始。

為什么時間很重要

在管理網(wǎng)絡(luò)時，全網(wǎng)時間同步的準(zhǔn)確性及其在網(wǎng)絡(luò)管理和安全中扮演的重要作用通常被認(rèn)為是理所當(dāng)然的。如果您不相信，想象一下如果每個網(wǎng)絡(luò)設(shè)備都有不同的時間會發(fā)生什么。整個網(wǎng)絡(luò)將爆發(fā)混亂。日志文件和網(wǎng)絡(luò)遙測將毫無用處。日志和遙測時間戳不會關(guān)聯(lián)。例如，實(shí)時接收但回溯到前一周的系統(tǒng)日志將無濟(jì)于事。儀表板會出錯，或者至少顯示不正確的數(shù)據(jù)，并且很可能會觸發(fā)警報。關(guān)鍵進(jìn)程要么開始得太早，要么開始得太晚。網(wǎng)絡(luò)取證幾乎是不可能的，審計(jì)將毫無意義，視頻時間戳將不正確。說夠了。如您所見，整個公司網(wǎng)絡(luò)的時間準(zhǔn)確性很重要，而且確實(shí)很重要。

由于時間非常重要，因此需要考慮網(wǎng)絡(luò)時間同步的時間來源的“什么，誰，何地和何時”。提供網(wǎng)絡(luò)時間協(xié)議 （NTP） 時間戳的時間服務(wù)器是“什么”。如果“誰”和“哪里”只是來自互聯(lián)網(wǎng)或互聯(lián)網(wǎng)NTP服務(wù)器池的時間服務(wù)器的IP地址，那么您需要考慮接收的NTP時間戳的“時間”的有效性和脆弱性。不過，這是另一篇博客文章的主題，因?yàn)閬碜曰ヂ?lián)網(wǎng)的空閑時間幾乎違反了零信任的所有原則，不能被視為可信時間。

什么是可信時間?？

假設(shè)網(wǎng)絡(luò)中有一個 NTP 網(wǎng)絡(luò)時間服務(wù)器，零信任會引發(fā)兩個關(guān)鍵問題。時間是隱式還是顯式信任？時間服務(wù)器本身作為連接到網(wǎng)絡(luò)的設(shè)備，是否與零信任網(wǎng)絡(luò)技術(shù)兼容？

可信時間意味著時間服務(wù)器在時間的準(zhǔn)確性和合法性方面是可信的。這也意味著它作為連接到網(wǎng)絡(luò)的設(shè)備受到信任，并且符合公司的安全要求。

網(wǎng)絡(luò)安全團(tuán)隊(duì)對時間服務(wù)器的安全功能更感興趣，而不是驗(yàn)證和驗(yàn)證時間戳的準(zhǔn)確性或帶寬。由于我們的 SyncServer? S600/S650 網(wǎng)絡(luò)時間服務(wù)器提供無與倫比的計(jì)時性能，讓我們討論一下它們的安全屬性。

作為目前可用的最安全的可信時間網(wǎng)絡(luò)設(shè)備，SyncServer 時間服務(wù)器符合零信任模型的基本支柱，包括用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和分析。

以下信息圖是 NIST 特別出版物 800-207：零信任體系結(jié)構(gòu)中概述的核心組件的簡化表示。它演示了這些支柱如何與 NIST 數(shù)據(jù)平面和控制平面相關(guān)。

例如，讓我們討論如何允許數(shù)據(jù)平面中的管理員（用戶支柱）訪問 SyncServer S600 服務(wù)器的 Web GUI。第一步是使用控制平面中的 X.509/PKI 基礎(chǔ)結(jié)構(gòu)（設(shè)備支柱）向?yàn)g覽器驗(yàn)證 S600 服務(wù)器。服務(wù)器通過身份驗(yàn)證后，管理員通過 RADIUS/TACACS+/LDAP 提交憑據(jù)，以便使用控制平面中的 ID 管理系統(tǒng)進(jìn)行用戶身份驗(yàn)證。如果授權(quán)訪問，則授予用戶訪問 S600 服務(wù)器的 Web GUI 的權(quán)限。

有許多方案可以使用SyncServer時間服務(wù)器在零信任體系結(jié)構(gòu)中實(shí)現(xiàn)可信時間。我們已經(jīng)為其中許多場景創(chuàng)建了信息圖表。在每個圖形中，突出顯示了SyncServer時間服務(wù)器中的安全技術(shù)和相關(guān)的零信任支柱，以便于參考。查看這些信息圖表。

如果您的公司正在向零信任架構(gòu)邁進(jìn)，請利用我們的應(yīng)用說明，該說明解釋了為什么可信時間在零信任網(wǎng)絡(luò)中如此重要。這個簡短的文檔解釋了SyncServer S600 / S650時間服務(wù)器如何確保時間及其來源的安全性，并符合零信任原則。它包括 S600/S650 服務(wù)器安全功能的詳細(xì)列表，以及它們?nèi)绾闻c零信任模型的支柱保持一致。您的安全團(tuán)隊(duì)可以使用此有用的檢查列表來確定時間服務(wù)器是否符合您的網(wǎng)絡(luò)安全要求。

作為最安全的可信時間網(wǎng)絡(luò)設(shè)備，SyncServer? S600時間服務(wù)器非常適合支持零信任計(jì)劃。它確保了時間及其來源的安全性，并符合零信任的基本支柱。

審核編輯：郭婷