| 2022-03-24
零信任不是产品或服务,当然也不仅仅是流行语。相反,它是网络安全防御的一种特殊方法。顾名思义,不是“先验证,然后信任”,而是“永远不要信任,永远要验证”。本质上,零信任是通过限制数据访问来保护数据。无论是否在网络范围之内,企业都不会自动信任任何人或任何事物。今天小编跟大家聊一聊建立零信任IT环境的5个步骤以及蒲公英零信任解决方案怎么样?
建立零信任框架并不一定意味着一定需要完全的技术转型。
通过使用以下这些循序渐进的方法,企业可以以可控的、迭代的方式进行,从而帮助获取最佳效果,同时对用户和操作系统的干扰降到最低。
1.界定保护表面范围。
零信任环境下,企业不会专注于攻击表面,而只会专注于保护表面,专注于对公司最有价值的关键数据、应用程序、资产和服务(DAAS)。
保护表面比如,信用卡信息,受保护的健康信息(PHI),个人身份信息(PII),知识产权(IP),应用程序(现成的或定制的软件);
SCADA控件,销售点终端,医疗设备,制造资产和IoT设备等资产以及DNS,DHCP和Active Directory等服务。
一旦界定保护面后,可以将控件尽可能地移近它,附上限制性的、精确的和可理解的策略声明,以此创建一个微边界(或分隔的微边界)。
2.记录事务流量,流量在网络中的传输方式决定了它的保护方式。
因此,获得有关DAAS相互依赖关系的上下文信息十分重要。
记录特定资源的交互方式有助于适当地加强控制并提供有价值的上下文信息,确保最佳的网络安全环境,同时对用户和业务运营的干扰降到最低。
3.构建零信任IT网络。
零信任网络完全可以自定义,而不仅是一个通用的设计。
而且该体系结构主要围绕保护表面构建。
一旦定义了保护表面并根据业务需求记录了流程,就可以从下一代防火墙开始制定零信任架构。
下一代防火墙充当分段网关,在保护表面周围创建一个微边界。
对任何尝试访问保护表面内的对象使用分段网关,可以强制执行附加的检查和访问控制层,一直到第七层。
4.创建零信任安全策略。
构建网络后,将需要创建零信任策略来确定访问流程。
访问用户对象、访问的应用程序、访问原因、倾向的这些应用程序连接方式以及可以使用哪些控件来保护该访问,这些问题都要提前了解。使用这种精细的策略实施级别,可以确保仅允许已知的流量或合法的应用程序连接。
5.监视和维护网络。
这最后一步,包括检查内部和外部的所有日志,并侧重于零信任的操作方面。由于零信任是一个反复的过程,因此检查和记录所有流量将大大有益,可提供宝贵的参考,以了解如何随着时间的推移改进网络。
针对越来越广泛的“零信任”网络安全策略需求,贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案。
蒲公英零信任架构主要通过对访问身份权限的动态管控,对访问成员持续进行信任评估和动态的访问控制,最终实现业务安全访问。
蒲公英的相关功能主要包括:
自定义访问策略
组网内成员的访问权限、访问内容、访问时间均可进行自定义设置,满足用户多场景使用,通过策略控制保障组网内资源访问安全。
多因子账号安全
对访问身份权限进行持续信任评估,除基础的账号身份认证后,增加手机、邮箱OTP认证以及动态令牌MFA认证;根据用户常用使用习惯制定不同等级的安全认证,帮助组网成员接入身份安全。
零信任安全解决方案倒逼人员提升安全意识,重建企业网络访问边界,加强网络安全,最终保证访问终端的安全性。当下是采用零信任安全模型最好的时候。技术已经成熟,协议和标准已经确定,对于新的安全性方法的需求不容忽视。零信任安全网络就选蒲公英。