零信任提供了一系列概念和想法,旨在当网络被视为受到威胁时,尽量减少在信息系统和服务中执行准确、最小权限的请求访问决策的不确定性。目标是防止未经授权访问数据和服务,并使访问控制实施尽可能细化。出于这些原因,零信任代表了从以位置为中心的模型向以数据为中心的方法的转变,以便在用户、系统、数据和资产之间实现随时间变化的细粒度安全控制。这提供了支持安全策略的开发、实施、执行和发展所需的可见性。更根本的是,零信任可能需要改变组织的网络安全理念和文化。
零信任是一种安全框架,它假设您的网络已经受到攻击,因此默认情况下不应信任用户和设备。通过遵循“永不信任,始终验证”的理念并实施严格的访问控制,组织可以减少攻击面和数据泄露风险。随着现代数据和安全实践的发展,零信任通过取代旧的防火墙边界防御模型重新定义了 IT 安全。
实施零信任架构,尤其是在远程工作环境中,可以帮助公司最大限度地减少成功违规造成的潜在损害,并通过根据用户身份验证和设备状态要求限制访问,提供对网络活动的更大可视性。
零信任的工作原理
零信任侧重于保护资源并持续评估用户与资产之间的信任。它为企业资源和数据安全提供了一种端到端的方法,涵盖身份验证、授权、访问管理、操作以及互连基础设施或网络。
采用零信任的公司遵循三大支柱,包括在网络受到威胁的情况下开展运营、根据用户的工作职责授予他们最少的网络访问权限以及验证对资源的所有请求:
假设存在漏洞:零信任假设网络已经被漏洞利用,所有用户和设备都不应被信任或被隐式授予对网络资产和资源的访问权限。
遵循最小权限原则:用户应仅被授予完成其任务所需的最小权限。零信任认为威胁和网络入侵可能来自组织内部和外部。
不允许隐式访问:任何资源或网络流量都不应被固有信任,并且每个连接请求都必须经过验证和确认,然后才能被授予访问网络的权限,无论它们是内部设备还是外部设备。这可以通过身份验证和持续监控来实现。
对于采用传统网络安全实践的组织而言,这似乎是一种文化变革。然而,企业可以从将思维方式与正确的工具相结合的优势中获益,从而有效地保护自己免受现代威胁。
零信任的核心原则是什么?
美国国家标准与技术研究所 (NIST) 出版物SP 800-207遵循七项核心原则,为实施 ZTA 提供指导。这些原则包括将设备视为资源、保护所有网络流量、要求用户对任何会话进行身份验证、定义对资源的访问权限、始终监控资产和网络、仅在适当的情况下允许访问以及经常收集和审查数据。
将所有数据源和服务视为资源
该规则规定,无论网络上的设备大小和类别如何(或数据要发送到哪里或被传输到哪里),只要设备在网络上传输数据并可以访问企业,它就是一种资源。此外,如果个人拥有的设备可以访问属于企业的资源,企业也可以将其归类为资源。
无论网络位置如何,都能实现安全通信
请求访问的设备的位置不应暗示信任。来自企业网络上的设备发出的访问请求必须满足与来自任何其他网络的访问请求和通信相同的安全要求。
换句话说,无论请求来自内部还是外部设备,所有通信都应以最安全的方式进行。这可以保护数据的机密性和完整性,并提供来源认证。
按会话授予资源访问权限
这一原则遵循最小权限规则,即用户应仅被授予完成任务所需的最小权限。NIST 在此基础上要求在授予任何资源访问权限之前评估每个请求。这意味着对一个资源的身份验证和授权不会自动授予对另一个资源的访问权限。
建立定义资源访问权限的策略
通过正确定义资源、需要访问这些资源的用户以及应为每个用户分配的级别,组织可以更好地保护其资源。此外,客户的身份可以包括用户帐户或服务身份以及企业分配给该帐户的任何相关属性。这些属性包括:
设备特性:安装的软件版本、网络位置、请求的时间/日期、先前观察到的行为和安装的凭据等信息。
行为属性:这可以包括自动主题和设备分析以及与观察到的使用模式的测量偏差。
策略:基于组织分配给主题、数据资产或应用程序的属性的访问规则集。
环境属性:这些因素包括请求者的网络位置、时间、报告的主动攻击等。
这些规则和属性由业务需求及其可接受的风险水平决定。因此,资源访问和操作权限策略可能因资源/数据的敏感度而异。此外,最小特权原则也用于限制可见性和可访问性。
监控和衡量资产的完整性和安全态势
NIST 指出,任何资产都不应被固有地信任,企业应在每次资源请求期间评估资产的安全状况。此外,实施 ZTA 的企业应建立持续诊断和缓解 (CDM)或类似系统来监控设备和应用程序的状态,并应根据需要应用补丁/修复程序。
任何被发现未通过诊断检查的资产或设备,例如存在已知漏洞、缺少补丁和/或不受企业管理,都应限制访问权限或阻止其与被视为“安全”的设备建立与网络资源的所有连接。
强制身份验证和授权
零信任是一个不断获取访问权限、扫描和评估威胁、适应并不断重新评估信任的循环。因此,预计实施 ZTA 的企业将拥有身份、凭证和访问管理 (ICAM)和资产管理系统。这些可能包括:
多因素身份验证 (MFA):要求用户提供两种或两种以上的身份验证形式才能访问部分或全部企业资源,并可能根据用户交易进行重新身份验证和重新授权。
持续监控:系统必须提供对 IT 系统、设备和网络上的用户活动的实时监控,并向管理员发出偏离定义基线的异常行为的警报。
强制执行的政策:如果检测到任何异常活动,则采取的安全措施。例如,用户在正常工作时间之外请求资源可以触发基于时间的警报,并且应该通知安全团队。
组织应努力使用这些系统来实现安全性、可用性、可用性和成本效益的平衡。
收集和审查数据
企业应收集有关资产安全状况的数据,包括网络流量和访问请求,处理这些数据,并利用获得的任何见解来改进政策制定和执行。为了提高对资产的保护,请尽可能多地收集有关基础设施的信息,并测试您的控制措施以识别任何弱点。
零信任是一个持续的过程,不会因采用特定工具或产品而满足。但它可以帮助保护组织免受几种常见的网络安全挑战。
零信任如何应对现代网络安全威胁
通过假设违规行为已经发生并遵循七项核心原则,零信任可以通过以下方式应对现代威胁:
减少网络钓鱼和勒索软件攻击:零信任可以通过限制用户权限和要求额外的验证步骤来防止网络钓鱼攻击,无论设备、用户的角色或访问级别如何。
最大限度地减少内部威胁:通过实施最小特权并主动监控用户活动,零信任可以检测并防止来自内部用户的潜在威胁。
减少攻击者的立足点:验证每个资源的用户访问权限、实施 MFA 和持续监控可以限制甚至阻止攻击者或高级持续威胁行为者对受感染网络的访问。
零信任将用户访问权限限制在必要的范围内,并持续监控网络上的所有资源,减少攻击者的切入点并减轻成功攻击的影响。
关于零信任的误解
尽管许多公司已经采用了零信任,但关于零信任仍存在两个主要误解,可能导致公司在采用零信任时遇到困难:
小型组织不需要零信任:有些人认为零信任对于小型组织来说太复杂或没有必要。但事实是,零信任对于各种规模的组织都很重要,虽然零信任安全确实需要规划来设置,但从长远来看,它可以简化安全管理。
零信任以产品为中心:人们对零信任最大的误解是它是一种工具。然而,零信任是一个框架,而框架需要改变思维和基础设施。这种思维方式与实施工具同样重要。
要采用零信任思维,IT 人员必须接受这样的概念:不再存在边界或可信网络——默认情况下,一切都被假定受到损害。他们应该制定一个全面的方法和详细的保护计划,其中包括用户、设备、技术、政策和程序。
例如,不要使用为整个组织提供单点筛选的防火墙、网关或入侵检测和预防解决方案 (IDPS) ,也要关注授权、身份验证、恶意软件检测以及端点、容器和应用程序的监控。
ZTA 的目标是战略性地创建可集中管理并在本地部署的保护层,以取代传统的防御层。每个应用程序、容器、数据库和系统都必须成为一个功能齐全的防御城堡。
实施零信任策略的 4 个步骤
现在您已经形成了正确的思维模式,是时候实施零信任策略了。为此,请识别关键资产和攻击面,实施控制措施以保护它们,定义零信任策略,并持续监控网络活动。
1. 确定资源和攻击面
无论您的网络基础设施如何,定义攻击面都应该是您首先要解决的问题。重点关注您需要保护的所有领域,包括关键服务和应用程序、资产和数据。
保护敏感数据:实施控制和安全措施来保护客户和员工的数据以及您不希望未经授权的用户或攻击者访问的其他敏感信息。
识别关键应用程序:应识别和保护在您的日常运营和业务流程中发挥不可或缺作用的任何应用程序或服务。
监控实物资产:必须定位、保护和监控医疗设备、销售点 (PoS) 终端、工业控制系统和组件以及其他关键基础设施等实物资产。
2. 构建架构
确定关键资产后,设计架构以最小化攻击面。没有一刀切的解决方案,但所有解决方案都必须遵循“永不信任,始终验证”的理念。
零信任架构应该涉及以下熟悉的机制:
实施最小特权:仅将访问限制为执行工作职能所需的资源,并限制可能提供对不需要的网络和资产的广泛访问权限的服务或应用程序。
使用多因素身份验证 (MFA):使用多因素身份验证为用户增加了额外的身份验证层,并防止恶意行为者窃取用户凭据并通过网络进行身份验证。
为用户和设备创建策略:要求用户和设备运行“健康检查”。所有设备、操作系统和应用程序在被授予访问网络或资源的权限之前都必须满足所需的最低健康状态。
执行例行检查:定期进行审计和评估,以验证对网络所做的更改,确认设备和应用程序正常运行,识别覆盖范围内的任何差距,发现任何漏洞或错误配置或确认已修复,并清楚了解网络的整体安全状况。
3. 创建零信任策略
确定关键资产并制定架构后,记录您的零信任策略。明确定义零信任策略的原则以及围绕身份验证、网络基础设施、访问控制、数据安全和人员期望等不同要素的详细信息。
身份和访问管理 (IAM):在政策的此部分中,详细说明组织中的用户身份验证和授权方法、用户验证流程或基于角色的访问控制。
网络分段:包括任何网络区域、IP 范围、分段详细信息以及每个网络段上的用户和设备的访问权限。
设备管理:记录设备信息,包括操作系统、应用程序版本、补丁等。
数据保护:包括加密方法、用户权限和访问控制。
合规性要求:列出政策必须遵守的所有标准和法规,如 HIPAA 或 PCI-DSS。还包括遵守这些标准所需的任何员工培训或评估。
要制定有效的政策,需要询问每个用户、设备、应用程序、服务和其他寻求访问的资源的谁、什么、何时、何地、为什么和如何。
4.持续监控你的网络
使用网络监控工具持续监控网络活动意味着 IT 和安全团队将观察网络活动、收到任何潜在问题的通知并收集有关网络整体健康状况的信息。
分析流量:实时收集网络和用户操作的详细日志,以识别基线、模式或异常。
警报安全团队:网络监控工具可以向人员发出网络上任何可疑活动或异常用户行为的警报。
获得洞察力:组织可以使用报告工具来评估零信任策略的有效性并找到改进机会。
广泛测试您的零信任实施,以验证所有基础设施都已被识别和解决、策略已创建,并且所有工具、服务和应用程序都已集成到组织的网络中,而不会产生任何漏洞或漏洞。
零信任架构的优势
采用 ZTA 可显著减少潜在的攻击媒介,同时增加日志记录和验证要求并增加捕获内部和外部恶意活动的机会。
减少攻击面:遵循“最小特权”原则并对设备和资源实施严格的访问控制,可减少攻击面以及成功入侵造成的损害。
提高您的安全性:持续监控和记录网络上的用户和设备访问可以提高可见性并对组织的安全态势产生积极影响。
ZTA 是传统安全方法的巨大改进,因为它具有强大的安全工具和可实施的功能。例如,组织可以将 IAM、网络访问控制 (NAC) 或 MFA 检查等功能整合到其架构中,以搜索设备的原始 IP 地址并运行检查以查看用户的设备是否可能受到威胁。
零信任挑战和注意事项
组织面临持续的资源挑战,这可能导致以下主要的零信任挑战:
替换现有基础设施: ZTA可以用于部分用户或关键资产。但是,维护多种技术会增加 IT 和安全人员的额外成本和负担。理想情况下,ZTA应该取代传统安全的全部元素(网络访问、身份验证等),以最大限度地降低支持重叠工具和过时设备的复杂性。
寻找足够的预算: ZTA供应商指出,采用ZTA将随着时间的推移减少开支,因为他们的解决方案可以取代几种独立的产品和服务以及支持基础设施。然而,实际上,这将是一个更加细致入微的计算。
提前规划:许多传统IT安全工具的使用寿命还有好几年,大多数组织无法承受从头开始的代价。IT和安全经理必须分析哪些ZTA工具与他们不打算替换的当前基础设施集成,以实现具有成本效益的过渡。
采用ZTA有很多好处,但也可能产生升级旧组件或创建补偿控制的级联要求,这可能具有挑战性且成本高昂。IT和安全经理应彻底探索不同的零信任解决方案,并提前与供应商合作,以确定和规划这种可能性。
在寻找零信任解决方案时,有些产品确实有价值,而有些则可能只是炒作。解决方案的真正价值取决于组织对其基础设施的理解以及他们正在实施的解决方案的功能。
底线:零信任是一种文化变革,但能带来成果
云安全联盟 (CSA) 的一项调查发现,77% 的高管计划增加对零信任的支出。然而,IT 和安全团队应该充分了解他们当前的基础设施和他们需要保护的关键资产,在进行大规模投资之前确定具体而明确的目标,并且永远不要信任,永远要验证。正确实施和遵循零信任原则可以对组织的安全态势产生重大影响,并创建更高效、更具弹性的网络环境。
