English日本語

数据安全+

从不信任,总是验证:8年前提出的零信任开始复兴


发布时间 2019-01-23   来源:安全牛  


暴露数百万人敏感数据,对企业企业造成实质性伤害的大规模网络攻击不会随着大家迈入新的一年而消失。为应对网络威胁挑战,零信任模型再次进入网络安全人士视野,越来越多的分析师企业站出来为零信任模型背书。为零信任热潮再添一把火的是GOOGLE等早期采用者发布零信任成功案例,讲述该模型在最小化网络风险暴露面上的非凡成就。


零信任模型最初由佛瑞斯特研究所与美国国家标准与技术局(NIST)2010年提出,并不是个新鲜概念。该模型摒弃了信任但验证的传统方法,将从不信任,总是验证作为其引导方针。


零信任模型的基石有三:


  • 确保所有资源安全访问,无论位置在哪儿(换句话说,不再有所谓信任域)
  • 应用最小权限策略,严格实施访问控制。零信任中所有用户默认不受信任。
  • 检查并记录所有流量。即便流量来自局域网也被假定可疑,接受与来自广域网的流量同等的分析与记录待遇。


零信任的行业动力


零信任及其各项益处一直在发展进化中。如今,零信任被企业企业用于驱动策略性安全倡议,推动业务决策者和IT主管实现实用预防、检测及响应措施。


零信任是安全行业热议话题,受到很多思想领袖欢迎,被用于市场营销和产品定位,以及引导其未来路线图。近期多起并购交易甚至就是源于并购企业想要向其技术组合中融入零信任能力,比如思科23.5亿美金收购 Duo Security,以及OktaScaleFT的并购。虽然不是所有分析师企业都用零信任这个术语,但Gartner451 Research KuppingerCole都在用零信任方法应付当今威胁挑战。


另外,零信任已从纯概念发展成了企业企业和政府机构逐渐采用的安全框架。IDG2018安全重点调查显示,71%专注安全的IT决策者都注意到了零信任模型,已经有8%在自己的企业中积极采用这种模型,10%正在试用。


零信任从身份开始


零信任模型实现虽然无法一蹴而就,但也不需要像GOOGLE那样完全重设计已有网络架构。逐步改变当前基础设施即可。从技术角度出发,零信任框架由旨在保护网络、数据、工作负载、人员及设备的一系列组件构成,提供安全威胁可见性,自动化并编排修复动作,通过API互联。


选择零信任可能有多种原因,其中一个驱动因素应该是因为网络攻击者获得敏感数据访问权最容易的途径就是盗取某用户的身份。如果被盗身份属于特权用户,情况就更糟了,他手握的通往整个王国的钥匙一旦被攻击者盗取,等同于整个数据资产王国的陷落。事实上,佛瑞斯特研究所的调查显示,80%的安全事件涉及特权凭证。Gartner的研究表明,65%的企业中特权账户不受限制,缺乏监管,共享使用。


只要企业企业还没开始实现以身份为中心的安全措施,账户盗取攻击就还会继续为数据泄露提供完美伪装。对大多数企业企业而言,零信任之路从身份开始。实际上,Gartner就建议在企业安全项目列表首要位置放上特权访问管理。


企业网络内部可能已经存在不可信用户,需要大家基于最小权限原则实现安全模型。该零信任权限方法实现以下几个元素:

  • 验证是谁
  • 上下学问特权访问请求
  • 建立安全管理员环境
  • 授予最小权限
  • 审计一切
  • 应用自适应安全控制


最终,零信任挑战并清除传统安全措施中固有的信任假设,堵死外部及内部攻击的入口。特权访问滥用是当今数据泄露头号原由的情况下,考虑踏上零信任模型之路的企业企业应从投资身份相关的技术起步。


                                                                                                                                                (来源:安全牛) 


相关推荐
重要看点
工业互联网
工业互联网

工业自动化控制系统,主要利用电子、电气、机械、App组合实现,广泛用于电力、水利、能源、数据采集等关键基础设施领域,包括SCADA、DCS、PLC等工业控制系统的安全问题。

XML 地图 | Sitemap 地图