博客

在零信任框架的审查

Abdeslam Afras

2020年9月10日

毫无疑问,今天的网络环境已变得非常复杂的,复合的,因为COVID19大流行。今天一个最大的问题必须处理的远程工作人员。

其中一个关键的安全威胁是搀和了家庭网络的业务网络,其中导致损害的凭据的一个巨大的上扬。虽然虚拟专用网络(VPN)已经证明了自己的价值,保护用户名和密码,他们也已经开始达到它们的突破点。

那么,什么可以做什么?世界各地的许多企业都开始采用被称为零信任框架,本文的焦点的新概念。

什么是零信任框架?

技术定义如下:

“相反,假设在企业防火墙后面的一切是安全的,零信任模型假定违约和验证每个请求,就像它从一个开放的网络发起。无论在哪里请求始发或什么资源也访问,零信任教导我们要“永不信任,始终验证。”每一个访问请求完全身份验证,授权和授权访问之前加密“。1

基于以上,一些设想可以对零信任框架(也称为“模式”):

  • 它叫绝对没有人,无论从内部或公司外,可以信任的假设;
  • 它已经假定网络攻击正在进行中;
  • 谁想要获得任何东西,尤其是对共享资源的任何人,已得到充分验证通过至少三个或更多层的认证。

正因为如此,零信托架构通常被视为极端。但在今天的环境,什么都被认为是理所当然的,即使员工已经跟你很长一段时间。

什么是受其影响

除了员工,也有具有零信任框架的监督下被投入在企业内的关键部件。这些措施包括以下内容:

各种设备

这包括从硬连线服务器到工作站和各种形式的无线设备。你要确保只有合法的设备正在使用他们的个人智能手机访问共享资源的访问您的网络基础设施,而不是恶意的,如员工。

软件应用

有了您的大多数员工都在家里工作,它更是很难说比以往任何时候,如果他们使用已授权通过您的IT安全团队的合法应用程序之前。在这一点上,你需要确认任何试图访问您的服务器应用程序是真实的东西。

您的数据

这是您存储数据,使用,并收集每天的基础上,从字面上构成您企业的命脉。这包括从您的知识产权(IP)一路的个人身份信息(PII)您的员工和客户的数据集。你什么都不想陷入Cyber​​attacker手中。这是绝对必要的,以这个数据,这说明需要进行身份验证的许多层,以首先发生的唯一合法人获得访问权限。

您的整体基础设施

很多人在零信任框架只是你的业务的数字组件相关联。但它包含的物理基础设施,以及。如果一个人需要,以获得在您的数据中心接入到服务器,就应该首先完全审核。这包括要通过认证的至少三层,例如,智能卡,输入一个唯一的ID号,并提交给生物测定模态诸如指纹和/或虹膜识别。

您的网络基础设施

获得接入通信网络线和横向移动从那里的Cyber​​attacker使用通过你的防线,打破了最常见的方式之一。因此,不仅你需要确保让所有可能的漏洞被修复,但也只有合法的员工可以发起网络通信的路径。由于零信任框架的任务,您的远程工作人员应给予只有这些权利,他们需要完成日常的工作职能,这被称为权限“最低权限的概念。”该框架进一步确立了网络基础设施应该分成更小的部分,这被称为“子网”。因此,如果通过认证的一层Cyber​​attacker断裂,统计赔率,他们将通过其他的突破变得大打折扣。

零信托架构的优势

有许多战略优势吧,它们是:

你有机会接触到较小程度的脆弱性:通过假设没有人可以信任,你实际上是降低了Cyber​​attacker渗透的威胁面。在一定程度上,你也是从沉淀内部攻击的危险得多的性能降低的水平。

您将有认证机制多样化的组合:使用身份验证的多个层并不意味着你使用不同形式的它。零信托架构的授权,你使用完全不同的机制,这是先前提到的这篇文章。

您的其他业务领域也将分段:除了你的网络基础设施,还会有其他方面,将有被进一步划分,如数据你存储。例如,而不是存储这一切在短短本地数据库,就必须包含它在不同的人。在这种情况下,你甚至可能希望使用基于云的平台,如AWS和Azure上。您可以创建数据库的不同实例,你可以快速,方便地部署多个认证机制。

结论

总之,本文研究了零信任框架是什么。未来的人会解决你怎么可以专门部署到您的业务。

来源

1https://www.microsoft.com/en-us/security/business/zero-trust

联系我们今天更多地了解我们的产品和我们的
办法来提高你如何收集,分析和利用数据。
告诉我更多