专栏
11年前诞生的零信任安全模型已被网络安全产业的思想领袖和企业CISO们广泛接受。而当拥有无穷预算和资源的Google通过BeyondCorp项目践行和验证了零信任框架的有效性后,零信任安全模型进入了产品化和商业化的快车道。但是今天,对于大多数企业来说,通往零信任的道路上依然布满了陷阱和误区。
11年后,很多IT和安全决策者依然难以就零信任达成战略上的共识。不同企业的IT和安全基础设施的差距、需求的差异化、零信任架构对持续改进能力和投入的要求,导致很多企业甚至难以迈出第一步。
根据2021年2月26日美国国家安全局(NSA)发布的零信任指南,零信任方法有四个关键点:
- 协调主动的系统监控、系统管理和防御性安全运营能力;
- 假设所有对关键资源和网络流量的请求都可能是恶意的;
- 假设所有设备和基础架构都可能受到威胁;
- 承认对关键资源的所有访问授权均会带来风险,并随时准备执行快速的损害评估,控制和恢复操作。
但现实是,假定所有设备、基础设施和流量都会遭遇入侵不仅在董事会上会炸锅,在SOC中也是徒劳的。不幸的是,像零信任框架这样的方法体系无法提供实用性指导,例如清晰详细的建议或后续实施步骤,这导致一些零信任采用者给后来者挖了很多大坑。
常见的零信任误区
在进一步讨论之前,我们先回顾一下零信任的六个基本组件:
- 身份:描述、验证和保护所有的企业账户。这包括整个云、本地和远程资产中的所有用户、服务、API和其他拥有访问权限的账户。
- 资产:扫描发现与企业IT环境有关的所有资产。与身份一样,企业需要描述、验证和保护任何位置的所有资产,包括:云、本地和远程。在授予资产访问权限之前,请确保安全管理已经就绪。
- 应用程序:将所有影子IT、影子云和(员工)自带应用程序转换为托管和受保护的应用程序。根据当前的分析和需求减少访问量。监视、控制和纠正用户权限。
- 数据:在整个ELT/ETL以及应用程序中,在其存储库中识别、分类和标记数据。将注意力从控制周边转移到控制数据访问。根据分类标签和内部策略对访问进行加密和控制。
- 基础架构:采用最小特权访问或“默认拒绝”原则,监视异常和可疑攻击并发出警报。使用自动化来阻止异常和危险行为。
- 网络:明确高风险或高价值数据的网络区域。通过风险和价值来划分不同的网络区域,并通过策略来限制访问。在内部网络中部署加密。确保设备和用户不因位于内部网络中而受到信任。
以下是企业在实施零信任框架或方案时,应该避免的四个常见误区:
误区1:选择一个重要的应用程序作为试验场
这是很常见的一个误区,因为从单个应用开始验证零信任的有效性似乎更容易。但困难在于您不知道这个应用与其他应用程序的互连,它的访问途径以及哪些用户需要对应用程序的访问权限。
零信任要求对每个应用程序进行细分,将它们彼此隔离。由于企业内部通常缺乏有关应用程序交互方式的知识和信息,因此从特定应用程序切入非常困难。
更好的选择是从应用程序生态系统的细分入手。然后,你可以控制对该应用程序的访问,而不必担心服务交付失败。从处理应用程序生态系统入手意味着你可以将注意力集中在用户到应用程序的交互边界上,而不必同时处理用户到应用程序、应用程序到应用程序,以及应用程序到基础结构的边界,这会让你崩溃。
误区2:专注于身份
大多数实施零信任的企业都会掉入一个陷阱,那就是零信任方案需要理解和定义企业中的每个身份。最初,这似乎很简单,但随后你会发现身份主体还包括大量服务、机器和应用程序。火上浇油的是,身份项目还必须包含权限,并且每个应用程序都有其自己的授权架构,且没有标准化。总之,仅专注于身份会让你掉入无休止的项目开发泥沼。
正确的做法是将重点放在用户账户上。我们从应用程序生态系统入手的目的是关注用户和应用程序边界。身份方面,应该从交互式登录入手,例如用户执行操作前需要访问账户。通过使用证书和循环凭证来代替通用登录,确保不可否认性。
误区3:在任何地方向任何设备提供向任何应用程序的访问权限都会导致丢掉工作
大多数董事会的高管们对零信任的理解都比较“简单粗暴”,那就是:零信任就是可以用任何设备开展业务的一种方式。这实际上是“零信任主义”安全业务双赢的终极目标和结果。对于刚刚开始实施零信任的团队来说,直奔“最高纲领”会让你的防御系统漏洞百出。事实上,零信任的目的是从技术上表达对任何设备或网络的不信任态度(原则)。这是一个安全原则和范型的转移,也是一个循序渐进的过程。
首先,提供对正确应用程序的正确身份访问,并确保这些用户及其访问之间存在细分。接下来,将已批准的设备移至可对设备或用户进行身份验证的位置(确保已建立对应的身份验证基础结构)。一旦建立零身份验证基础设施,你就可以进一步扩展可访问网络的设备类型。
误区4:放弃企业数据中心,使用云将大大加快零信任的实现
从零信任的角度来看,将企业数据中心环境转移到云中不可避免地会带来安全灾难。这里的陷阱通常是缺乏对数据中心资产,它们所连接的对象,以及企业各部门的可见性。仅在云中重新实例化数据中心并不能赋予您这种可见性。实际上,这样做会进一步降低可见性,因为与数据中心相比,可在云端增加摩擦的控件更少。
在迁移到云之前,请确保对以上提到三大要素有足够的可见度:应用程序生态系统到用户的边界,执行身份验证所需的用户身份属性,以及需要访问资产的设备。
数字化转型的趋势已经不可阻挡,这意味着企业将无可避免地走上零信任之路。现在的问题不再是上不上零信任,而是如何避免误区和陷阱,希望以上总结的四个零信任误区能够帮助企业安全主管们少走弯路。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
推荐系统
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
相关文章
- 网络机柜尺寸有哪些 网络机柜规格尺寸介绍
- 笔记本屏幕怎么保养 笔记本屏幕保护知识
- 邬贺铨:新一代信息基础设施须同步建设网络安全能力
- Akamai DNS 中断导致全球主要网站和在线服务瘫痪
- 怎样利用架构廉价的追踪网络中的入侵者
- 美国拟建立2000万美元的网络安全应急基金
- 排名前十的勒索软件支付赎金事件
- 宽带连接错误678怎么办? 宽带连接错误678故障解决办法
- 微软发布开源网络渗透模拟器CyberBattleSim
- Twitter删除数十个与俄罗斯政府相关的账号
- 专栏
- 美国国防承包商已被入侵,Pulse Secure 0day漏洞正在世界范围内被积极利用
- 锐捷发布极简以太全光解决方案 打造“不一样”的全光网
- 5个简单的步骤用HTTPS保护你的WordPress网站
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4i7 6700主频是多少 i7-6700参数详解
- 5Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 6win7蓝屏代码7f指什 怎么解决 很严重
- 7安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 8aoc一体机电脑win10改win7系统及bios设置
- 9高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
- 10华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
常用系统
- 1笔记本&台式机专用系统GhostWin7 64位中秋特别 旗舰版2020年9月(64位) 高速下载
- 2新萝卜家园电脑城专用系统 Windows10 x64 企业版 版本1507 2022年3月(64位) ISO镜像免费下载
- 3雨林木风 Ghost Win7 SP1 装机版 2022年5月(32位) 提供下载
- 4番茄花园 Ghost XP SP3 海量驱动装机版 2022年4月 ISO镜像高速下载
- 5深度技术Ghost Win8.1 x32位 特别纯净版2021年3月(免激活) ISO镜像高速下载
- 6番茄花园 Windows 10 六一节 极速企业版 版本1903 2022年6月(32位) ISO镜像快速下载
- 7雨林木风Ghost Win8.1 (X32) 快速纯净版2019年12月(免激活) ISO镜像快速下载
- 8深度技术Ghost Win8.1 x32位 特别纯净版2021年12月(免激活) ISO镜像高速下载
- 9新萝卜家园GhostWin7 SP1电脑城极速装机版2018年4月(32位) 提供下载
- 10电脑公司Ghost Win8.1 x32 精选纯净版2020年8月(免激活) ISO镜像高速下载