簡(jiǎn)析零信任:網(wǎng)絡(luò)安全新中心點(diǎn)
責(zé)編:gltian |2019-05-09 15:17:28每一年,數(shù)千家公司企業(yè)遭遇數(shù)據(jù)泄露,數(shù)十億條數(shù)據(jù)記錄被網(wǎng)絡(luò)攻擊者滲漏,導(dǎo)致企業(yè)破產(chǎn)倒閉,地緣政治情況惡化,大家開始失去對(duì)國(guó)家選舉程序完整性的信心。
事后分析表明,這些導(dǎo)致數(shù)據(jù)泄露的攻擊手法其實(shí)技術(shù)含量并不高,基本都是利用了弱口令、被盜憑證或被黑憑證。我們賦予憑證的身份與信任,被利用來危害我們自身。信任成為了我們網(wǎng)絡(luò)安全實(shí)踐中的阿基琉斯之踵。
為解決這些問題,零信任模型在去年獲得了業(yè)界的廣泛支持。美國(guó)國(guó)際數(shù)據(jù)集團(tuán)(IDG)的《2018安全重點(diǎn)調(diào)查》表明,關(guān)注安全的IT決策者中,71%注意到了零信任模型,其中8%已經(jīng)開始在自家企業(yè)中運(yùn)用該模型,10%正在試用。
2010年,佛瑞斯特研究所與美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)合作,首次提出了零信任模型概念。基于研究發(fā)現(xiàn),佛瑞斯特分析師 John Kindervag 指出,傳統(tǒng)安全措施中固有的信任假設(shè)使公司企業(yè)易于遭受外部和內(nèi)部攻擊。零信任安全概念的核心是公司企業(yè)不應(yīng)該信任其內(nèi)部和外部實(shí)體,應(yīng)驗(yàn)證每一個(gè)連向其系統(tǒng)的訪問請(qǐng)求。
零信任模型的原始概念是以數(shù)據(jù)為中心的網(wǎng)絡(luò),利用微分隔來實(shí)現(xiàn)更細(xì)粒度的規(guī)則,并最終限制攻擊者的橫向移動(dòng)。自誕生以來,零信任模型的概念及其各種益處有了大幅發(fā)展。零信任被公司企業(yè)用于驅(qū)動(dòng)戰(zhàn)略性安全規(guī)劃,使業(yè)務(wù)決策者和IT主管得以實(shí)現(xiàn)切實(shí)的預(yù)防、檢測(cè)與響應(yīng)措施。
零信任擴(kuò)展生態(tài)系統(tǒng)
佛瑞斯特研究所分析師 Chase Cunningham 博士貢獻(xiàn)了零信任模型的最大進(jìn)化發(fā)展。他發(fā)布了《零信任擴(kuò)展生態(tài)系統(tǒng)》報(bào)告,將原始模型擴(kuò)出其網(wǎng)絡(luò)中心,納入了如今不斷擴(kuò)張的攻擊界面和以下元素及相關(guān)過程:
1. 網(wǎng)絡(luò):分隔、隔離與控制網(wǎng)絡(luò)。
2. 數(shù)據(jù):保護(hù)并管理數(shù)據(jù),分類并制定數(shù)據(jù)分類架構(gòu),加密存儲(chǔ)數(shù)據(jù)和傳輸中的數(shù)據(jù)。
3. 工作流:在整個(gè)應(yīng)用棧上應(yīng)用零信任控制,通過虛擬機(jī)管理程序和自包含的處理組件來覆蓋應(yīng)用層。
4. 設(shè)備:隔離、保護(hù)和控制網(wǎng)絡(luò)上的每一個(gè)設(shè)備。
5. 人員 (即身份):限制并嚴(yán)格實(shí)施用戶訪問權(quán)限,保護(hù)這些用戶。
對(duì)上述元素實(shí)施安全控制便能夠提供通往零信任的路線圖。但最重要的是要明白,網(wǎng)絡(luò)攻擊者觸碰敏感數(shù)據(jù)的最佳途徑就是黑掉用戶身份。如果被盜身份屬于手握寬泛訪問權(quán)的特權(quán)用戶,情況就更加糟糕了。事實(shí)上,佛瑞斯特研究所的數(shù)據(jù)表明,80%的安全事件涉及特權(quán)憑證。
零信任之路始于身份
為限制公司企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露面,遏制當(dāng)今數(shù)據(jù)泄露的頭號(hào)元兇——特權(quán)濫用,可以考慮以下幾個(gè)動(dòng)作:
1. 識(shí)別及保護(hù)
識(shí)別所有特權(quán)賬戶及資源,并妥善保護(hù)及管理這些特權(quán)憑證。
2. 以最小權(quán)限原則整合身份
僅僅保護(hù)尚不足夠,還需要減小攻擊界面。方法包括整合身份和盡可能地清除本地賬戶,然后實(shí)現(xiàn)提權(quán)控制和實(shí)時(shí)特權(quán)訪問工作流。最容易達(dá)成這一點(diǎn)的辦法就是為所有特權(quán)用戶實(shí)現(xiàn)基本的多因子身份驗(yàn)證(MFA)。
3. 高度強(qiáng)化環(huán)境
如微軟強(qiáng)增安全管理環(huán)境 (ESAE) 指南中建議的,通過物理隔離管理員賬戶來強(qiáng)化環(huán)境安全。另外,還要通過基于主機(jī)的監(jiān)視和先進(jìn)行為分析,以及為最敏感的環(huán)境添加三級(jí)保障度的MFA,來鎖定任何危險(xiǎn)的規(guī)避方法。
從基于邊界的傳統(tǒng)企業(yè)安全策略轉(zhuǎn)向零信任方法,能夠提供更為健壯的預(yù)防、檢測(cè)和事件響應(yīng)能力,可以保護(hù)不斷擴(kuò)張的攻擊界面——云、大數(shù)據(jù)、DevOps、容器和微服務(wù)。遵循這一路線,公司企業(yè)便能夠抵御高級(jí)威脅,限制數(shù)據(jù)泄露的影響,支持新的業(yè)務(wù)和運(yùn)營(yíng)模式,并且能保證合規(guī)(比如FISMA、HIPAA、PCI等等)。
《零信任擴(kuò)展生態(tài)系統(tǒng)》報(bào)告:
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!