公司及机构, 零信任是确保IT硬件和连接设备安全的最佳选择, 员工受到保护.
零信任并不是一个新概念. 然而, 疫情和向更加数字化的社会转型凸显了以前没有出现在雷达上的问题,使零信任安全成为热门话题.
如今,联网的物联网(物联网)设备比以往任何时候都要多. 这些设备设计用于提供单一服务, 不幸的是, 安全不是设备的首要任务. 缺乏内置安全性使得物联网设备容易受到攻击, 也。, 它创造了进入组织整个网络的潜在途径.
随着企业开始数字化转型之旅,确保网络基础设施的安全至关重要. 网络分段,零信任安全的一个原则,使防止攻击成为可能. 一旦有妥协报告, 可以减少攻击的可能性,并且可以限制网络上的横向移动, 以免影响其他连接的系统.
零信任一眼
在商业计算和企业环境中, 根据现有的信任程度,网络分段有两种方法. 传统上, 信任的界限是有形的和隐性的, 所以计算机网络被防火墙保护着. 用最简单的术语来说,这意味着——内部的东西受到外部的保护. 然而,随着威胁风险的增加,这种方法不得不演变.
在零信任的世界里, 信任是动态的、可适应的,不再是假设的, 即使在网络内部. 指导原则是“永远不相信——永远验证”。, 这意味着要像系统中已经存在攻击者一样行动. 记住这个原则, 第一步是网络访问控制(NAC), 物体的识别, 以及连接用户的认证. 基于这些因素, 宏分割是使用防火墙来过滤不同类别的对象和用户之间的流量. 例如,你可以隔离监控摄像头和建筑管理传感器. 然后, 基于识别, 在段内的第二级过滤使细化和实现微段成为可能. 在第二步中, 目的是防止监控摄像机在同一网段内相互通信.
为什么零信任现在如此重要
在过去的18个月里,网络攻击呈上升趋势, 企业为此付出了巨大的代价. 此外,黑客正在实施越来越复杂和恶意的攻击. 因为零信任要求在允许访问网络之前对每个设备和用户进行识别和认证, 它是可以控制的, 甚至避免攻击. 这是由于网络分段限制了访问范围,减少了攻击的传播.
通过宏观和微观分割的智能混合,零信任方法为每个用户和对象提供了一个受限的移动安全边界. 组织管理网络访问控制, 定义授权(例如按作业角色访问), 并且能够保护和遏制威胁, 随着网络不断搜索不适当或可疑的行为.
新的网络功能支持零信任, 是哪一个比例地提高了防御规模扩大和复杂的网络攻击的水平.
五步打造零信任网络
虽然从头开始构建一个零信任的安全网络非常容易(例如, 新房屋, 新结构), 然而, 大多数公司已经有了现成的网络. 这些组织面临的挑战是协调方法以满足组织的需要, 同时保护它免受攻击. 以下是消除信任的五个步骤:
1. 监控: 识别所有设备, 外围设备, 连接的设备,并验证所有访问网络的人. 对象目录将自动创建和填充.
2. 验证: 控制所有连接的设备,并使那些不适合该活动的设备无效, 因为他们增加了攻击的可能性. 应用最小权限原则,授予执行任务所需的最小权限. 如果网络识别出不符合要求的设备, 有必要实施恢复或补救计划.
3. 计划: 了解所有用户的设备, 以及他们的工作流程和为将这些数据转换为安全策略而生成的流量,该策略智能地结合了宏观分段(输入/输出控制)和微观分段(细粒度安全规则).
4. 模拟: 适用于平行识别, 身份验证, 在“故障打开”模式下的安全策略:所有设备都将被授权,网络行为将被记录和索引, 以便建立授权方案和适应的网络安全策略. 这一关键步骤将改进安全策略,同时确保正常活动不受影响.
5. 执行: 在最后一步中,“失败打开”变为“失败关闭”:不再容忍身份验证失败, 所有未引用的用户或设备将被拒绝, 停止所有非法流. 网络监控可以立即验证所有设备是否已被识别, 在进行安全检查时,对用户进行身份验证以在网络上获得授权,或者可能将其隔离.
简而言之
零信任方法使识别流量成为可能, 自动在库存中存储对象, 为网络创建定时规则, 并根据规则共享用户和物联网配置文件. 它还可以确定中心IDS或交换机的DoS攻击, 并可选择对受限和动态边界内的可疑流量实施隔离.
零信任提供了一种跨网络基础设施的身份验证策略和一致的安全策略, 根据用户和连接技术的需求实施. 宏观分割与微观分割的智能结合, 一旦有人违反安全规定就会进行隔离, 确保您的网络基础设施的最高程度的安全性. 在日益动荡的, 不确定的, 复杂的, 和模糊的世界, 零信任方法是确保网络和业务资产安全的最佳选择.
Laurent Bouchoucha
网络事业部业务发展副总裁在解决方案营销领域自豪地领导着一支专家团队, 业务计划管理, 解决方案架构, 售前及业务拓展. 推动和支持我们在校园和数据中心网络方面的积极发展战略.
作者简介
