1 零信任安全模型基础知识及其在网络安全的部分应用-德赢Vwin官网 网
0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

零信任安全模型基础知识及其在网络安全的部分应用

倪山骋 来源:星翼电子 作者:星翼电子 2022-07-18 15:48 次阅读

什么是零信任模型?

零信任安全模型的目标是通过强制执行“从不信任,始终验证”方法来保护企业网络免受访问威胁。您可以通过确保您的网络默认不信任任何设备或用户来实现零信任安全。这意味着您的网络不应该信任任何实体,即使它之前已经过验证。

零信任模型对于现代企业环境和复杂的企业网络特别有价值。这些环境通常由众多互连的部分、移动和远程连接、基于云的基础设施和服务以及物联网 (IoT) 设备组成。

零信任安全提供了各种控制措施,可用于加强现代企业环境的安全性,包括相互身份验证技术:

无论位置如何,都可以验证设备的完整性和身份。

除了用户身份验证和授权之外,还根据设备运行状况和身份信任级别提供对服务和应用程序的访问。

零信任模型的优缺点

以下是零信任模型的一些优点:

减少攻击面——一旦建立,零信任模型提供比隐式信任方法更好的安全性,特别是在防止网络内横向威胁方面。

强大的用户识别和访问策略——在零信任的情况下,您应该严格管理网络内的用户以保护他们的帐户。使用多因素身份验证或生物识别技术来确保所有帐户都得到很好的保护。将用户分组到角色中,授予他们在工作任务需要时访问数据和帐户的权限。

数据的智能分段——在零信任模型中,您应该根据敏感性、类型和用途对数据进行分段。这种方法提供了一种比所有用户都可以访问的中央数据池更安全的设置。使用零信任方法,敏感或关键数据是安全的,并且您可以减少潜在的攻击面。

增强的数据保护——零信任保护存储和传输中的数据,这意味着自动备份和散列或加密的消息传输。

安全编排——此任务涉及确保所有安全元素协同工作。在一个成功的零信任模型中,没有任何漏洞未被发现,并且您的安全方法的组合元素可以很好地协同工作并且不会出现不一致。

以下是与零信任策略相关的一些挑战:

设置时间和精力增加— 当您建立零信任方法时,您需要在现有网络中重新组织策略。此过程可能具有挑战性,因为您的网络需要在向零信任过渡期间正常运行。有时建立一个新的网络更简单。如果您的旧系统与零信任框架不兼容,您将需要从头开始构建网络。

增加用户管理工作——您需要使用零信任方法更密切地监控用户,仅在需要时授予他们访问数据的权限。用户还可以包括员工、客户、客户和第三方供应商,这意味着有各种各样的接入点。使用零信任框架,组织必须为每个组维护特定的策略。

需要管理的设备更多——您不仅需要监控用户,还必须监控他们的设备。每个设备可能具有特定的属性和通信协议,必须根据其类型对其进行保护和监控。

复杂的应用程序管理——现代组织使用数百个应用程序。它们可以是基于云的,用户可以跨多个平台和设备访问它们。组织还与第三方共享它们。为了与零信任方法保持一致,您必须根据安全要求和用户需求定制、规划和监控每个应用程序。

更严格的数据安全性——数据通常存储在多个位置,这意味着通常需要保护多个站点。您需要根据最高安全标准设置和执行数据安全策略。

幸运的是,新技术正在不断发展,有助于应对其中的许多挑战。在早期,您必须从头开始构建零信任实现。今天,零信任远不是一种商品,但已经有成熟的专用解决方案可以帮助您设置零信任堆栈的重要部分。让我们回顾一下最重要的。

零信任技术

微分段

微分段是零信任的基础技术。它使您能够将网络拆分为逻辑的、安全的单元。此技术允许您定义和应用策略,以控制网络的每个分段区域内的数据和应用程序访问和使用。

微分段旨在限制允许从一个分段遍历到另一分段的流量。这种类型的限制限制了整个网络的横向移动,从而最大限度地减少了攻击面。您可以将网络微分段应用于数据中心以及云环境。在零信任环境中,所有其他组件都集成了微分段功能,或者它们本身提供了微分段功能,以在每个有价值的资产周围创建一个安全的微边界。

安全访问服务边缘 (SASE)

SASE 是一种云架构模型,它将广域网 (WAN) 功能与安全即服务功能统一到一个集中式服务中。组织可以使用 SASE 将所有安全和网络工具集中到一个管理控制台中。

以下是 SASE 的主要优势:

集中您的网络和安全工具。

提供独立于用户和资源位置的访问。

提供可扩展且具有成本效益的远程访问解决方案,可有效处理安全和网络责任。

扩展检测和响应 (XDR)

XDR 工具提供基于 SaaS 的事件响应和威胁检测功能。XDR 工具将多个安全产品集成到一个集中的安全操作系统中。有以供应商为中心的 XDR 工具,可在一个许可证下提供多个集成组件,而开放式 XDR 工具则专注于数据存储和分析,与现有的安全工具集成。

以下是 XDR 的主要优势:

集中您的事件检测和响应能力。

提供整个技术环境中威胁的整体和简化视图。

提供实时威胁洞察,可以提高事件补救的速度和效率。

利用人工智能 (AI) 检测跨越安全孤岛和边界的规避威胁。

MITRE ATT&CK 框架

MITRE 是一个非营利组织,提供有关网络威胁的信息,以帮助解决网络防御问题。作为他们努力的一部分,MITRE 提供对抗性战术、技术和常识 (ATT&CK) 框架作为免费且全球可访问的知识库。

MITRE ATT&CK 框架提供了有关对手战术和技术的最新信息。它基于现实生活中的观察和不断发展的战术、技术和矩阵知识库。组织可以利用该框架来加强其网络安全战略。

ATT&CK 本身并不是零信任技术。然而,在零信任环境中,威胁情报是智能验证和监控用户连接的关键。这种全面的策略、技术和程序 (TTP) 集合可以帮助安全系统识别系统中存在的威胁,并通过加强网络分段和撤销访问来自动响应。

下一代防火墙 (NGFW)

NGFW 是第三代防火墙技术,您可以将其作为软件或硬件来实施。此防火墙在多个级别(包括端口、协议和应用程序)实施安全策略,以检测和阻止复杂的攻击。

以下是 NGFW 技术的显着功能:

桥接和路由模式

应用控制

身份意识,包括组和用户控制

集成入侵防御系统 (IPS)

与外部情报来源整合

NGFW 技术的独特之处在于它可以了解通过防火墙的不同类型的 Web 应用程序流量。它使用此信息来阻止可能利用漏洞的流量。由于其应用程序感知、先进的检测能力以及与网络分段的紧密集成,它在零信任设置中至关重要。

身份和访问管理 (IAM)

IAM 提供有助于管理数字和电子身份的技术、流程和策略。在零信任设置中,组织使用 IAM 来控制用户对所有内容的访问 - 无论是在他们的公司网络内、在云环境中还是在其他地方。

以下是 IAM 的显着功能,可以为零信任提供安全的分布式访问:

单点登录 (SSO) 和联合身份

特权访问管理 (PAM)

多重身份验证 (MFA)

IAM 技术还使您能够安全地存储配置文件和身份数据。此外,许多工具提供数据治理功能来帮助控制用户可以访问和共享哪些数据,从而为零信任模型增加了另一层保护。

结论

在本文中,我解释了零信任的基础知识,并介绍了一系列可以帮助您实现零信任的成熟技术:

微分段- 启用网段的动态隔离以保护受保护的资源。

安全访问服务边缘 (SASE)– 提供广域网 (WAN) 作为托管服务,内置安全功能。

扩展检测和响应 (XDR)– 集中安全数据和工具,支持从一个界面进行安全分析、自动和手动响应。

MITRE ATT&CK 框架——提供威胁情报,可以帮助检测先前验证的实体的恶意活动。

下一代防火墙 (NGFW)– 在应用层分析和阻止恶意流量并实施微分段规则。

身份和访问管理 (IAM)– 支持对混合环境中的用户访问和权限进行细粒度控制。

零信任实施远非易事。但是我们已经过去了基于手动网络分段和临时授权方案的自助式工作的早期阶段。SASE、NGFW 和 IAM 等组件是新的构建块,它们使零信任安全的实践更易于管理、更有效并且不那么不堪重负。

我希望这将有助于您在混合组织中实现完全零信任。

审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表德赢Vwin官网 网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59698
  • 安全模型
    +关注

    关注

    0

    文章

    5

    浏览量

    6192
收藏 人收藏

    评论

    相关推荐

    逻辑异或在网络安全中的应用实例

    在数字世界中,信息安全是至关重要的。随着网络技术的发展,保护数据免受未授权访问和篡改的需求日益增长。逻辑异或(XOR)作为一种基本的二进制运算,在网络安全中扮演着重要角色。 1. 数据加密 对称
    的头像 发表于 11-19 09:50 178次阅读

    高端存储在网络安全方面的特点

    近日,知名技术分析机构DCIG公布了《2024-2025高端存储Top5》名单。和以往不同,本次报告DCIG重点考察了高端存储的网络安全能力。
    的头像 发表于 10-16 10:20 300次阅读

    IP风险画像如何维护网络安全

    在当今数字化时代,互联网已成为我们生活、工作不可或缺的一部分。然而,随着网络应用的日益广泛,网络安全问题也日益凸显。为了有效应对网络安全挑战,IP风险画像技术应运而生,正逐步成为构建
    的头像 发表于 09-04 14:43 287次阅读

    网络安全技术商CrowdStrike与英伟达合作

    Falcon网络安全平台帮助开发人员安全地利用开源基础模型,加速人工智能的创新。同时双方还将开发针对特定行业的定制化网络安全解决方案。 业界认为将NVIDIA加速计算和生成式人工智能
    的头像 发表于 08-28 16:30 1355次阅读

    芯盾时代入选《现代企业信任网络建设应用指南》

    近日,国内知名网络安全媒体安全牛重磅发布了《现代企业信任网络建设应用指南(2024版)》报告(以下简称“报告”)。芯盾时代凭借在
    的头像 发表于 08-28 09:45 471次阅读

    人工智能大模型在工业网络安全领域的应用

    随着人工智能技术的飞速发展,人工智能大模型作为一种具有强大数据处理能力和复杂模式识别能力的深度学习模型,已经在多个领域展现了其独特的优势和广阔的应用前景。在工业网络安全领域,人工智能大模型
    的头像 发表于 07-10 14:07 726次阅读

    IBM和微软加强在网络安全领域的合作

    近日,IBM(纽交所代码:IBM)和微软(Microsoft)宣布加强在网络安全领域的合作,旨在帮助客户实现安全运营的简化和现代化,并有效管理和保护混合云身份的安全
    的头像 发表于 07-10 10:45 566次阅读

    Quectel荣获2024年Fortress网络安全

    全球物联网解决方案的佼佼者Quectel Wireless Solutions近日荣获了Business Intelligence Group颁发的2024年Fortress网络安全奖。这一殊荣旨在表彰那些在网络安全创新领域取得显著成就的公司和个人。
    的头像 发表于 06-04 11:27 673次阅读

    以守为攻,信任安全防护能力的新范式

    引言 在当今的数字化时代,网络安全已成为各个组织面临的一项重大挑战。随着技术的快速发展,攻击手段也在不断演变和升级,传统的安全防御策略已经无法完全应对新兴的安全威胁。在这种背景下,
    的头像 发表于 05-27 10:18 965次阅读
    以守为攻,<b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>安全</b>防护能力的新范式

    Palo Alto Networks与IBM携手,深化网络安全合作

    网络安全领域的两大巨头Palo Alto Networks和IBM近日宣布建立全面合作伙伴关系,共同推动网络安全领域的创新发展。根据协议,Palo Alto Networks将收购IBM的QRadar SaaS资产及相关知识产权
    的头像 发表于 05-22 09:40 596次阅读

    芯盾时代参与的国家标准《网络安全技术 信任参考体系架构》发布

    近日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2024年第6号),芯盾时代参与编写的国家标准GB/T 43696-2024《网络安全技术 信任参考体系架构》(以下简称《标准》)正式发布,并于2
    的头像 发表于 05-16 14:21 973次阅读
    芯盾时代参与的国家标准《<b class='flag-5'>网络安全</b>技术 <b class='flag-5'>零</b><b class='flag-5'>信任</b>参考体系架构》发布

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用该框架,组织能够更有效地实施风险识别、安全保护、威胁检测和事件响应,从而构建更加坚固和弹性的
    的头像 发表于 05-06 10:30 1352次阅读
    专家解读 | NIST<b class='flag-5'>网络安全</b>框架(1):框架概览

    企业网络安全的全方位解决方案

    安全域划分到云端管理,全面构建企业网络安全防线 在数字化浪潮席卷全球的今天,企业网络安全已经成为商业运营中不可忽视的一部分。随着企业数字资产价值的不断攀升,
    的头像 发表于 04-19 13:57 664次阅读

    什么是信任信任的应用场景和部署模式

      信任是新一代网络安全理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其
    的头像 发表于 03-28 10:44 2892次阅读

    2024年网络安全趋势及企业有效对策

    随着2023年网络结构的不断演变和网络威胁的激增,以及云计算的广泛应用,企业在数字化转型的道路上面临着更为复杂和严峻的网络安全挑战。为了有效地抵御各类威胁,许多企业纷纷采用
    的头像 发表于 01-23 15:46 622次阅读