广告

零信任构建模块简化其实施

时间:2022-05-11 09:06:34 作者:Gilad David Maayan 阅读:
网络攻击若魔高一尺,网络防御需道高一丈!基于手动网络分段和临时授权方案的手动防御技术早已过时,而零信任模型已是当今有效的网络防御新技术。本文解释了零信任的基础知识,介绍了一些可实现零信任的成熟技术,并给出了零信任模型实施的具体方案。
广告

什么是零信任模型?

零信任安全模型旨在以“永不信任,始终验证”的理念助力网络抵御访问攻击。通过将默认模式设为不信任所有设备或用户,来构建零信任安全策略,这意味着网络中应该永远不信任任何实体,即使它之前已通过验证。

零信任模型对现代的企业环境和复杂的企业网络而言极具价值。这些环境通常由众多互连设备、移动连接和远程连接、基于云的基础设施和业务、以及物联网(IoT)设备组成。

零信任安全模型能进行各种控制,可用于提高现代企业环境安全,包括身份互验证技术:

验证设备的完整性和身份,无论设备处于哪个位置。

除了验证用户身份和进行授权,零信任安全模型还能根据设备的运行状况和身份的信任级别,提供对业务和应用程序的相应访问。

零信任模型优势:

减小攻击面-零信任模型一旦建成,零信任模型比隐式信任模型提供了更好的安全性,尤其在阻止内部网络中的横向威胁方面。

严格管理用户识别和访问-零信任模型中,必须严格管理网络内的用户,以保障他们的账户安全。运用多因素身份验证或生物识别技术,确保所有账户都得到妥善保护。将用户分为不同角色,授予他们在工作任务需要时访问数据和帐户的权限。

数据智能分段-在零信任模型中,应该根据敏感性、类型和用途对数据进行分段。这种方法提供了一种比所有用户都可以访问的中央数据池更安全的设置。使用零信任方法,敏感或关键数据是安全的,并且可以减少潜在的攻击面。

增强的数据保护-零信任保护存储和传输中的数据,这意味着传输中对信息进行自动备份和打散,或者加密。

安全编排-该操作在于包括确保所有的安全组件协同工作。在一个成功的零信任模型中,没有未被发现的任何漏洞,安全模式中的组合单元协同工作,不会出现不协调的情况。

零信任面临的挑战

其构建更耗时费力-打造零信任模型时,需要在现有网络中重新部署策略。此过程可能具有挑战性,因为网络向零信任网络过渡的同时还要保持正常运行。有时还不如新建一个网络那样简单。如果旧系统与零信任框架不兼容,还得从头开始构建网络。

用户管理更复杂-需要以零信任的方式更密切地监控用户,只在有需要的时候才授予他们访问数据的权限。用户还包括员工、客户、顾客和第三方供应商,这就意味着有各种各样的接入点。使用零信任架构,必须针对每个用户组制定不同的策略。

需要管理的设备更多-不仅需要监控用户,还必须监控他们的设备。每个设备可能具有特定的属性和通信协议,必须根据其类型对其进行保护和监控。

复杂的应用程序管理-现代企业使用数百个应用程序。可以是基于云的,用户可以跨多平台和设备访问它们,有时还与第三方共享它们。为了与零信任方法保持一致,必须根据安全要求和用户需求定制、规划和监控每个应用程序。

更严格的数据安全性-数据通常存储在多个位置,这意味着通常需要保护多个站点。故需要依据最高安全标准,来制定和执行数据安全策略。

所幸的是,新技术正在不断发展,有助于克服许多挑战。早期,必须从头开始构建零信任方案。如今,零信任已远不是一款产品,已经有成熟的专用解决方案,可以帮助设置零信任堆栈的重要部分。主要技术包括:

微分段

微分段是零信任的基础技术。它能够将网络拆分为有逻辑的安全单元,使网络具有网段动态隔离能力,以确保受护资源的安全。该技术允许定义和执行策略,以控制网络的每个分段区域内的数据和应用程序的访问和使用。

微分段旨在限制从一个分段到另一分段的流量。这种方式可限制攻击行为在整个网络的横向移动,从而最大程度减小受攻击面。可以将网络微分段应用于数据中心以及云环境中。零信任环境中,所有组件联合提供、要么自身提供微分段功能,以在每个宝贵资产周围打造一个安全的微边界。

安全访问业务边缘(SASE)

SASE是一种云架构模型,提供广域网(WAN)作为托管业务,内置安全功能。它将广域网(WAN)功能与安全即业务功能统一到一个集中式业务中。可以使用SASE将所有安全和网络工具集中到一个管理平台中。

SASE的主要优势包括:

集中网络和安全工具

提供独立于用户和资源位置的访问

提供具有成本效益的、可扩展的且可有效平衡安全与网络责任的远程访问解决方案

扩展检测和响应(XDR)

XDR将安全数据和工具集成到一个统一的安全操作系统中,支持从一个界面进行安全分析、自动和手动响应,提供基于SaaS的安全事件响应和威胁检测功能。有以供应商为中心的XDR工具,可在一个许可证下提供多个集成组件,而开放式XDR工具,则专注于数据存储和分析,可与现有安全工具集成。

XDR的主要优势如下:

集中的事件检测和响应能力

提供整个环境中威胁的整体和简化视图

提供以提高事件补救的速度和效率的实时威胁洞察

利用人工智能(AI)检测跨越安全孤岛和边界的规避性威胁

MITRE ATT&CK框架

MITRE是一个非营利组织,提供有关网络威胁的信息,帮助检测已验证实体的恶意活动,助力解决网络防御问题。作为努力的一部分,MITRE提供对抗性战术、技术和常识(ATT&CK)框架作为知识库,供全球免费访问。

MITRE ATT&CK框架提供了有关对抗战术和技术的最新信息。它基于对现实世界中的观察和不断发展的战术、技术和矩阵知识库。可利用该框架来加强网络安全战略。

ATT&CK本身并不是零信任技术。然而,在零信任环境中,威胁情报是对用户连接进行智能验证和监控的关键。这种全面的策略、技术和程序(TTP)集合,可帮助识别系统中存在的威胁,并通过加强网络分段和撤销访问来自动响应。

一代防火墙(NGFW)

NGFW在应用层分析和阻止恶意流量,并实施微分段规则,是第三代防火墙技术,可以将其作为软件或硬件来实施。此防火墙在多个级别(包括端口、协议和应用程序)实施安全策略,以检测和阻止复杂的攻击。

NGFW包括以下主要功能:

桥接和路由模式

应用控制

身份感知,包括组和用户控制

支持集成入侵防御系统(IPS)

可集成外部情报源

NGFW技术的独特之处在于,它可以掌握通过防火墙的不同类型的Web应用程序流量。使用此信息来阻止可能利用安全漏洞的流量。因其具有应用感知、先进的检测能力以及能与网络分段紧密结合,故在零信任设置中非常关键。

身份识别与访问管理(IAM)

IAM支持对混合环境中的用户访问和权限进行细粒度控制,提供有助于管理数字和电子身份的技术、流程和策略。在零信任设置中,使用IAM来控制用户对所有内容的访问-无论是在公司网络内、云环境中还是其他地方。

以下是IAM的主要功能,可为零信任提供安全的分布式访问:

单点登录(SSO)和联合身份

特权访问管理(PAM)

多重身份验证(MFA)

IAM技术还能够安全地存储配置文件和身份数据。此外,许多工具提供数据管理功能,来帮助控制哪些数据用户可以访问和共享,从而为零信任模型增加了另外一层保护。

结论

实现零信任远非易事。但无论如何,先前那种基于手动网络分段和临时授权方案的自主手动阶段已经过去了。SASE、NGFW和IAM这类技术都已成为新的构件,使零信任安全模型更易于管理且更有效。

(参考原文:Zero trust building blocks ease implementation

本文为《电子工程专辑》2022年5月刊杂志文章,版权所有,禁止转载。点击申请免费杂志订

 

责编:Jimmy.zhang
本文为EET电子工程专辑原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 厚积薄发,汇顶科技IoT新产品线成果首次向大众展示 智能手机热度的消去,让一大批供应商开始寻找新的增长点,在这个过程中,唯有笃定技术原创,才能激发成长动能。汇顶科技立志成为一家国际化的多元型半导体公司,2015-2021年研发投入复合增长率达到53.11%,如今,他们的安全、连接和传感新产品线迎来了检阅时刻……
  • 利用超低功耗机器学习技术实现更有效的嵌入式视觉系统 带有高性能深度学习推理加速器芯片或与云数据中心宽带连接的高清摄像头,可以显著增强和改进传统的安全和监控方法。事实上,这样的深度学习系统已经展示了非凡的能力:面部识别、手势解释——例如检测入店行窃,甚至情绪估计——检测入店行窃的企图。或许这些能力已经变得令人刮目相看了。
  • 超大规模用戶和5G:对撞还是互融? 对于5G和超大规模用户之间的关系,不少人认为相似的功能会在应用上撞车,但分析发现,两者若通过有机融合,可更好实现包括高级驾驶辅助系统、工业4.0、无人数据中心和元宇宙等各种应用,从而为企业、城市、消费者带来更多承诺,故本文作者认为两者是天作之合。
  • 自动驾驶,路向何方? 尽管自动驾驶技术发展炙热,但因其令人生畏的技术复杂性,发展速度目前已有所放缓,在批量部署之前还有许多挑战有待克服。本文作者对自动驾驶的进展进行了回顾,就自动驾驶 的当前状态提出了自己的判断,并对未来的主流技术进行了预测,亦对自动驾驶安全、立法等提出了自己的观点。
  • 利用主动短路技术增强48V轻混电动汽车的保护性能 DRV3255-Q1栅极驱动器甚至可以使用内部逻辑和电压监视功能自行集成高侧或低侧制动决策。这种级别的诊断和保护,为尝试创建新的48V启动发电机系统的系统设计人员提供了巨大的好处,包括:一是降低了设计复杂性;二是减少了固件开销;三是减小了体积。
  • 如何选择合适的设备来测试和监控电池温度? 如今锂电池几乎是无处不在!但所有锂电池都有温度限制,只有满足条件才能确保预期性能,包括功率和寿命,对于高密度和高容量的电池模块和电池组更是如此。故在电池系统的整个产品生命周期中,选择适当的设备对电池温度进行测试和监控极为重要。如何选,请看本文详解。
  • 新款iPad Pro 2021成最受欢迎的 由于采用性能相对强大的M1处理器和mini-LED屏幕以及更多的创新,新款iPad Pro 2021已经成为消费者心目中最受欢迎。然而,iPad 2却已经在全球范围内被列入“复古和过时”的名单中。
  • 三星折叠屏手机Galaxy Z Fold 3 目前来看,折叠屏新机作为一种新的生产力工具,逐渐成为高端/平板的一种趋势,有报料称三星的Galaxy Z Fold 3发布时间或为7月,并且会引入新手势操控。
  • 基于架构创新,后摩智能点亮业内首款 5月23日,后摩智能宣布,其自主研发的业内首款存算一体大算力AI芯片成功点亮,并成功跑通智能驾驶算法模型。
  • Nexperia和KYOCERA AVX Componen 将成熟的GaN技术与创新型封装专业知识相结合
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了