零信任安全架構應如何落地?

安全頻道發表於2022-03-24
架構

過去,我們認為企業如同一座被城牆(防火牆)、護城河(DMZ)和吊橋(訪問控制)層層防護起來的堅固城池,但隨著網路攻擊手段的不斷升級、犯罪販子的日益猖獗、遠端辦公常態化所帶來的攻擊面增大等眾多因素的影響下,零信任理念已經逐漸成為解決網路安全問題的重要推手。


iSMG最近釋出的《2022年零信任策略報告》顯示:絕大多數受訪者都表示零信任對於降低網路安全風險至關重要;近一半(46%)的受訪者表示零信任是2022年最重要的安全實踐。


此外,Forrester的另一項面向300餘家大型企業的調查報告也顯示:78%的安全高管均計劃在今年增加對零信任的使用力度。


儘管零信任是大多數網路安全團隊的首選,但其實際落地卻不盡樂觀。在Forrester所調查的企業中,能夠全面部署零信任的企業所佔比例僅為6%;另有30%的受訪者表示只是在企業區域性部署了零信任;還有63%的受訪者表示,其企業內部對零信任專案現仍於評估、規劃或試點階段。


2021年5月,美國政府在改善國家網路安全的行政令中要求政府機構要採用零信任方案,政令釋出後,美國行政管理和預算辦公室(英文簡稱:OMB)隨即釋出瞭如何推進零信任架構落地的戰略方案,此外,接二連三,CISA在去年秋季釋出了《零信任成熟度模型》、NIST釋出了白皮書《零信任架構規劃》,其中,《零信任架構規劃》闡述瞭如何利用網路安全框架(CSF)和NIST風險管理框架(RMF,SP800–37)來助力企業順利遷移升級為零信任架構。


以下是上述國外應對零信任架構實際落地的5個最佳實踐總結,供讀者瞭解、參考:


1、明瞭需要保護哪些層面


安全風險評估應從攻擊者角度出發。例如,企業安全團隊最常關注的潛在攻擊面有:

•安全邊界在哪?

•外部人員將會如何闖入?

•有什麼潛在的方法可以闖入?


NIST的《零信任架構規劃》給出的建議是,建立安全防護需要先從資料和應用程式出發,應先分析價最高、風險最大的資料資訊和資產。因為保護面比攻擊面的範圍和邊界要小得多。


當在零信任架構中,找不到任何需要保護的邊界時,企業可以在資產周圍設定“微邊界”,通過微邊界,企業使用者可以全面的瞭解和控制,何人在何地、何時,通過何種手段進行了訪問。


因此,企業可以根據業務的重要等級,來確定受保護物件的重要性和優先順序。先確定最關鍵的應用程式,然後再確定次重要的。層層遞減,如此便可實現對所有應用程式的等級保護。


2、提高可見性


CISA在《零信任成熟度模型》中表示,企業在圍繞身份、裝置、網路、應用程式和資料等執行點實施零信任時,實現可見性,即全面的瞭解一切資產如何相互連線是執行上述策略的基礎。


使用者、裝置和服務都需要連線到資料中心。如果企業不瞭解該環境的運作方式,就試圖強制執行零信任,則會使該環境變得更復雜,從而導致安全缺口或工作流程中斷。在保證了可見性之後,企業就可以清晰的瞭解到應採取怎樣的可信執行策略。


3、構建新邊界:微隔離


NIST在《零信任架構》中表示,與傳統防護手段相同,零信任理念保證資料中心安全的前提也是確保網路環境和周邊環境安全。但差別在於如何在資料中心建立“微邊界”(micro-boundary),零信任要求只有通過稽核標準的流量才能通過。


因此在構建零信任架構時,網段和邊界相比傳統模式會變得更小。因此,微隔離策略應與現有的網路架構相脫離,並要具被靈活的擴充套件功能。


此外,在部署零信任架構時,允許訪問的列表要基於策略,而不是基於IP地址。這項工作十分繁重,傳統通過人工的方式無法解決,而零信任網路訪問解決方案則使用機器學習(ML) 或人工智慧(AI)來了解流量模式和訪問邏輯,以幫助企業建立自動訪問策略。


4、做好身份管理


無論企業選擇部署哪種框架或模型,身份都是零信任安全的基礎,都需要身份來源認證和基於角色的訪問控制等關鍵元件。身份來源不僅要包含使用者的身份,還要包括服務帳戶、應用程式會話、暫時身份和雲資產。


零信任要求在提供安全訪問之前先驗證身份,這對於VPN等傳統解決方案是不可能實現的。軟體定義邊界(Software-Defined Perimeter,簡稱“SDP”)或零信任架構不僅僅驗證IP地址,還在授予訪問許可權之前,根據裝置狀態、位置、時間、角色和許可權來持續評估安全風險。


此外,隨著數字足跡的大小和形狀發生變化,我們不再擁有“數字網路”或“數字服務”。不過,我們現在擁有不斷擴充套件的“數字生態系統”。假設企業在獲得這些新渠道、效率或敏捷性的同時希望保持安全,那就需要採用零信任架構。


零信任模型可確保全面的審計跟蹤,基於身份的零信任會持續監控所有使用者對系統中任何資源的每個訪問請求,無論在本地還是在雲端。每當身份(人或機器)試圖訪問資產時,都會根據其在會話期間的行為及其他上下文引數執行風險分析。更加便於合規策略的執行。


 5、縮小攻擊面


盡力縮小攻擊面是減少風險暴露、降低安全事件發生的關鍵。


在企業內部,零信任理念的微隔離方法在提供了安全連線授權資源的便利的同時,也確保了任何身份未經授權的資產都是不可見、不可訪問的。這減少了橫向移動,進一步降低了內部威脅。


此外,我們也可以在企業外部運用零信任理念,以防範外部網路威脅和攻擊。比如,移動辦公的員工經常面臨網路釣魚攻擊。要減少諸如此類的攻擊面,我們只需做好這幾項工作:主動了解數字足跡(如上所述)、監控通訊渠道以尋找攻擊指標(最好結合威脅情報),以及迅速應對已識別的威脅(包括打補丁)。


來自 “ 安全牛 ”, 原文作者:安全牛;原文連結:https://mp.weixin.qq.com/s/70UZBlqeJe73NKsNAWbuEA,如有侵權,請聯絡管理員刪除。

相關文章