随着技术变得更加先进和更加民主化,恶意行为者找到了破坏企业网络的新方法。不断变化的业务实践和新的工作方式也产生了保护企业敏感数据的需求。这种持续的“拉锯战”导致总体上更加改进和复杂的网络安全实践。
零信任就是近年来引起企业关注的一种模式。随着针对企业的网络攻击数量急剧上升,许多企业正在探索零信任架构来保护他们的数据。
什么是零信任?
零信任安全是一种网络安全模型,要求每个尝试访问网络的用户验证其身份。这是一个严格的要求,适用于网络内外的所有用户。
“零信任”一词来自 John Kindervag,他是 Forrester Research 的分析师和思想领袖,他解释了安全风险如何来自组织网络的内部和外部。
为什么需要零信任安全?
到目前为止,企业通常都试图通过关注网络边界来阻止网络攻击。标准做法基于“信任但验证”方法,其中自动信任网络中的用户和设备。这些受信任的用户被允许进入网络,之后他们不必每次都重新验证自己。
这对企业构成了风险,因为恶意内部行为者以及合法内部用户的凭据被攻击者窃取。自疫情爆发以来,随着企业加快数字化转型和云迁移工作,同时工作安排变得远程化,风险变得更加严重。仅在美国, 网络攻击增加了 300% 根据世界经济论坛在新加坡的数据,2021 年前 9 个月,网络犯罪案件数量为 16,117 起。根据新加坡网络安全局 (CSA) 的报告,2020 年共发生 16,117 起网络犯罪案件,高于 2019 年记录的 9,349 起。
这些趋势清楚地表明,企业需要更严格的方法来验证和信任进入网络的用户。这是“零信任架构”的基础,在该架构中,内部和外部用户每次尝试访问网络时都必须通过输入访问权限来证明其真实性。
零信任架构如何运作
零信任架构基于 John Kindervag 提出的“从不信任,始终验证”的格言。这涉及不同技术的组合,例如多因素身份验证、端点安全、身份保护、数据加密和电子邮件安全等。
第一步涉及识别网络中最关键和最有价值的数据,包括文件、工作负载和服务。接下来是优先级排序和零信任策略的创建,以保护高优先级资产。
接下来,有必要了解用户是谁、他们正在使用哪些应用程序以及他们如何尝试连接到网络。这有助于确定和执行确保安全访问您的关键资产的策略。
接下来是对网络环境中的流量和用户的持续监控和可见性。还强调流量的控制,尤其是网络不同部分之间的流量,包括加密流量。
零信任模型:关键原则
零信任模型依赖于一些关键原则,这些原则共同作用以减少每个用户对网络其他更敏感部分或可能不在该个人用户权限范围内的暴露。这些原则包括:
终止每个连接
零信任安全解决方案终止每个连接,以便在将流量发送到目的地之前实时检查流量,包括加密的流量。与防火墙等解决方案相比,这具有优势,防火墙会在文件交付时对其进行检查,如果发现文件是恶意的,可能来不及发出警报。
基于上下文的策略
用户请求访问的上下文在零信任策略中起着重要作用。在允许访问之前,会考虑各种属性,例如用户的身份、设备、位置、正在访问的内容类型和正在请求的应用程序。
设备访问控制
在零信任模型中,对设备进行严格的控制和监控。它监控有多少不同的设备正在尝试访问,以及它们是否获得授权。这可确保设备不会受到损害,并最大限度地减少网络的攻击面。
微分段
微分段是将安全边界划分为小区域的做法,以便网络的不同部分可以维护其单独的访问规则。零信任架构通常采用软件定义的微分段,无论数据位于何处,无论是在数据中心还是分布式混合和多云环境中,都能确保数据安全。
多重身份验证 (MFA)
零信任安全的另一个核心原则是多因素身份验证(MFA)。 MFA 要求用户提供不止一项身份验证证据——仅输入密码是不够的。一个简单的应用是,当用户被要求输入密码时,除了密码之外,还需要输入发送到他们拥有的一个设备(如手机或令牌)的密码。
通过零信任网络访问保护您的企业
CDNetworks 优惠 企业安全访问 (ESA),一种基于云的安全远程访问服务。它使用带有软件定义边界 (SDP) 基础设施的零信任实现来控制在任何设备上的任何环境中对任何平台的访问。
它还集成了所有必要的功能,包括身份认证、应用加速和统一管理,确保只有授权用户才能访问特定应用。借助 ESA,企业可以自信地实施远程和混合工作安排,同时保护其分布式员工的设备,同时保护网络免受网络攻击。 ESA 在安全网关后面屏蔽源头的 IP 地址和端口,并在网络攻击到达目的地之前将其拦截。
