什麼是零信任網絡架構?
零信任網絡架構 (ZTNA) 是一種安全模型,它在授予對數據和應用程序的訪問權限之前對每個用戶、設備和進程使用多層精細訪問控制、強大的攻擊預防和持續驗證。使用 ZTNA 方法,信任永遠不會被隱式授予,必須不斷評估。ZTNA - 也稱爲零信任網絡訪問、軟件定義邊界 (SDP) 或動態安全邊界 (DSP) - 不依賴於預定義的信任級別。
作爲一種安全架構,零信任的目標是爲數據和應用程序提供更安全的訪問,即使是遠程工作人員也是如此。由於當今的組織在更加複雜、互聯的生態系統和雲服務中工作,零信任可以幫助組織抵禦來自外部和內部威脅的惡意活動,並防止代價高昂的數據泄露。
隨着越來越多的組織尋求改善其網絡安全狀況的方法,零信任正在獲得關注。更棒的是,用戶訪問的零信任模型可以適應任何規模的組織。無論您是小型企業還是大型企業,都可以實施零信任來提高安全性。
零信任有什麼好處?
數字化轉型爲組織擴大市場、增加銷售額和提高生產力創造了新的機會。但這種轉變也開闢了新的攻擊媒介,並擴大了惡意攻擊者的攻擊面,這些攻擊者現在部署了越來越複雜的威脅,包括惡意軟件、網絡釣魚攻擊和勒索軟件。更糟糕的是,員工和“受信任的”供應商和合作夥伴往往是系統的入口,無論是無意的受害者還是故意惡意的內部人員。
零信任網絡架構的主要優勢在於,它有助於爲當今現代 IT 環境中的數字身份提供強大的方法。IT 安全團隊不能再簡單地用防火牆保護他們的網絡架構。當今的複雜環境現在包括移動設備、雲環境、DevOps、BYOD、IoT 設備等。零信任可以向所有身份授予詳細的訪問權限和權限——所有用戶、所有端點設備以及所有自動化機器和應用程序進程。
此外,ZTNA 是一種強大的設計,不僅可以關閉試圖獲得訪問權限的外部威脅的漏洞,還可以控制網絡內部的橫向移動。通常,組織較少關注內部控制和系統配置,而是關注建立外部邊界。以剛纔提到的惡意內部人員爲例,他們經常試圖利用自己的“受信任”狀態和憑據來訪問其他未被發現的系統。零信任通過從不爲任何身份隱式授予信任來填補安全漏洞。
除了零信任提供的強大身份安全優勢之外,零信任的另一個好處是它不是一個全有或全無的命題。組織可以逐步實施零信任,而無需立即對其現有網絡基礎設施和雲安全進行全面檢修。例如,您可以,事實上,美國國家安全局 (NSA) 已經確定並推薦了三個零信任成熟度級別:
基本:實現對數據和應用程序的基本集成安全訪問。
中級:優化您的集成功能並添加更多功能。
高級:通過強大的分析和編排部署高級保護和控制。
這種靈活的實施策略可以幫助 IT 團隊爲任何規模的組織節省時間和金錢,並且可以爲大型企業擴展。
零信任網絡架構如何工作?
除非明確允許用戶或機器,否則零信任網絡架構拒絕訪問資源。沒有隱含的信任關係。此外,對於每個身份,每次請求訪問時,這些訪問權限都會被實時評估和批准(或拒絕)。這種“從不信任,始終驗證”驗證策略是零信任和傳統網絡安全模型之間的主要區別。
ZTNA 的工作方式是通過多種方法進行的,包括用戶身份驗證、授權和檢查,並且基於用戶身份、位置、操作系統和固件版本以及端點硬件類型等標準。零信任方法提供細粒度、最小權限的訪問來限制橫向移動。
零信任安全模型的三個階段
Gartner 爲零信任網絡訪問定義了一個三階段策略,該策略通過預測、預防、檢測和響應攻擊來提供自適應安全態勢。
攻擊防護:攻擊防護是一種防禦性安全態勢,可將惡意攻擊拒之門外。例如,可以部署網絡分段和微分段等隔離技術來強化網絡邊界。攻擊預防還包括在攻擊發生之前對其進行預測,以及在威脅發生後快速發現、遏制和補救。
訪問保護:訪問保護是一種訪問管理形式,旨在讓受信任的流量進入。設置訪問安全策略、監控使用和管理使用的組合創建了一個自適應訪問保護模型。
持續可見性和評估:爲了保持遵守和執行零信任網絡訪問政策和系統,組織應實施程序以對其環境進行持續可見性和評估。這些程序是實施 ZTNA 態勢、對其進行監控和調整的持續循環。
零信任與 SASE 有何不同?
安全訪問服務邊緣 (SASE)是當今流行的另一種安全框架,它也被開發用於提供對應用程序和數據的安全訪問。SASE 最初在 2019 年被 Gartner 定義爲“包括軟件定義廣域網 (SD-WAN)、安全 Web 網關 (SWG)、雲訪問安全代理 (CASB)、防火牆即服務 (FWaaS)和零信任網絡訪問 (ZTNA) 作爲核心能力,能夠識別敏感數據或惡意軟件,能夠以線速解密內容,並持續監控會話的風險和信任級別。” 換句話說,SASE 是一個包含零信任網絡架構的總稱。
SASE 和 ZTNA 都是現代安全架構的重要組成部分,但它們是不同的。SASE 提供基於強大數字身份的全面、多方面的安全框架,無論用戶或機器位於何處。另一方面,ZTNA 是 SASE 的一個組成部分。零信任僅關注資源訪問策略和控制。當它們一起使用時,它們可以提供更全面的安全解決方案,能夠有效地保護當今的現代 IT 生態系統。
如何構建零信任架構?
歸根結底,ZTNA 是一種強大的身份安全策略,可降低風險,使黑客和惡意內部人員的機會更少。而且這樣做不會損害用戶體驗。爲了實施這種安全方法,組織需要嚴格控制每個人和機器身份的訪問和權限。
但是,如何構建零信任架構是複雜的,因爲已經很複雜的環境進一步擴展,包括使用 VPN 和移動設備的遠程工作人員、部署在混合和多雲環境中的雲服務、開發人員在 DevOps 環境中生成代碼、所有部門使用機器人流程自動化 (RPA)、廣泛部署的連接到系統的 IoT 設備以及許多其他企業應用程序。負擔過重的 IT 團隊幾乎不可能有效地管理所有這些身份並有效地防止使組織面臨數據泄露和盜竊的故障。
這就是 PKI 迎接挑戰的地方。對於零信任,沒有比使用公鑰基礎設施 (PKI) 構建的數字證書提供的數字身份更強大、更易於使用的身份驗證和加密解決方案了。2020 年 2 月,美國國家標準與技術研究院 (NIST) 發佈了“零信任架構”報告,其中 NIST 將 PKI 描述爲零信任架構的重要組成部分。
您可以使用數字證書構建零信任解決方案的一些方法包括:
用用戶身份證書替換密碼
自動頒發和更新 SSL/TLS 證書
使用 S/MIME 證書保護電子郵件
通過文檔簽名保護關鍵工作流程
此外,與多因素身份驗證 (MFA) 或雙因素身份驗證 (2FA) 相比,數字證書具有顯着優勢。誠然,MFA 和 2FA 旨在通過引入諸如 SMS 推送通知、一次性密碼 (OTP) 或硬件令牌等額外步驟來增強身份驗證安全性,而不僅僅是使用簡單的密碼。但與 MFA 不同的是,數字證書爲在零信任網絡架構中驗證和保護身份提供了至關重要的好處,包括不易被盜的基於加密的憑據、部署用於任何身份用例而不僅僅是用戶、可擴展的配置和管理、不會影響用戶體驗,並降低總擁有成本 (TCO)。
本文翻譯自:https://sectigo.com/resource-library/what-is-zero-trust-network-architecture
聲明:本文相關資訊來自sectigo.com,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站刪除。