| 2022-09-8
当前是的,信息安全已经成为全社会关注的焦点,特别是在新冠疫情影响下,全球都被迫开启了在线远程办公模式,如何在新的生产方式下保障安全并且平衡好生产效率和用户体验,是一个刚需且有实际价值的课题。零信任安全架构的理念也应运而生。零信任安全架构如何落地?
1、明了需要保护哪些层面
安全风险评估应从攻击者角度出发。例如,企业安全团队最常关注的潜在攻击面有:安全边界在哪?外部人员将会如何闯入?有什么潜在的方法可以闯入?
《零信任架构规划》给出的建议是,建立安全防护需要先从数据和应用程序出发,应先分析价最高、风险最大的数据信息和资产。因为保护面比攻击面的范围和边界要小得多。
2、提高可见性
CISA在《零信任成熟度模型》中表示,企业在围绕身份、设备、网络、应用程序和数据等执行点实施零信任时,实现可见性,即全面的了解一切资产如何相互连接是执行上述策略的基础。用户、设备和服务都需要连接到数据中心。如果企业不了解该环境的运作方式,就试图强制执行零信任,则会使该环境变得更复杂,从而导致安全缺口或工作流程中断。在保证了可见性之后,企业就可以清晰的了解到应采取怎样的可信执行策略。
3、构建新边界:微隔离
《零信任架构》表示,与传统防护手段相同,零信任理念保证数据中心安全的前提也是确保网络环境和周边环境安全。但差别在于如何在数据中心创建“微边界”(micro-boundary),零信任要求只有通过审核标准的流量才能通过。因此在构建零信任架构时,网段和边界相比传统模式会变得更小。因此,微隔离策略应与现有的网络架构相脱离,并要具被灵活的扩展功能。
4、做好身份管理
无论企业选择部署哪种框架或模型,身份都是零信任安全的基础,都需要身份来源认证和基于角色的访问控制等关键组件。身份来源不仅要包含用户的身份,还要包括服务帐户、应用程序会话、暂时身份和云资产。零信任要求在提供安全访问之前先验证身份,这对于VPN等传统解决方案是不可能实现的。软件定义边界(Software-Defined Perimeter,简称“SDP”)或零信任架构不仅仅验证IP地址,还在授予访问权限之前,根据设备状态、位置、时间、角色和权限来持续评估安全风险。
5、缩小攻击面
尽力缩小攻击面是减少风险暴露、降低安全事件发生的关键。在企业内部,零信任理念的微隔离方法在提供了安全连接授权资源的便利的同时,也确保了任何身份未经授权的资产都是不可见、不可访问的。这减少了横向移动,进一步降低了内部威胁。
针对越来越广泛的“零信任”网络安全策略需求,贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案,为企业网站的安全起到了非常重要的保障作用。
蒲公英零信任架构主要通过对访问身份权限的动态管控,对访问成员持续进行信任评估和动态的访问控制,最终实现业务安全访问。
蒲公英的相关功能主要包括:
自定义访问策略
组网内成员的访问权限、访问内容、访问时间均可进行自定义设置,满足用户多场景使用,通过策略控制保障组网内资源访问安全。
多因子账号安全
对访问身份权限进行持续信任评估,除基础的账号身份认证后,增加手机、邮箱OTP认证以及动态令牌MFA认证;根据用户常用使用习惯制定不同等级的安全认证,帮助组网成员接入身份安全。
零信任安全架构不仅可以兼容移动互联网、物联网、5G等新兴应用场景,也可兼容等级保护2.0、国密改造、自主可控、可信计算等标准,如果企业采用了“零信任”安全策略,那么黑客将无法单纯的凭借账号密码攻入企业内网,而是会被要求验证其他的身份信息,比如企业可以要求账号与设备MAC码对应,或者需要短信或者邮件的验证等等,这些策略由企业方视情况制定。
有了零信任安全架构,黑客进行恶意攻击的难度将会大大提升,很多针对企业网络的攻击在这一步就会被拒之门外。蒲公英零信任网络下的访问控制,可以保障网络访问的安全,以及有效内外访问成员的安全属性进行监控,大大提高了企业的安全保障。