文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

关于零信任的7个原则解释

2024-12-03 00:15

关注

[[414406]]

1. 所有数据源和计算服务都被视为资源。

只将终端用户设备或服务器视为资源的时代已经过去了。今天的网络由一系列动态的设备组成,从传统的项目,如服务器和端点,到更动态的云计算服务,如功能即服务(FaaS),它们可能以特定的权限来执行你环境中的其他资源。

对于你环境中的所有数据和计算资源,你必须确保你有基本的,并在必要时有高级的认证控制,以及最低许可的访问控制。在随后的宗旨中,所有这些资源都在某种程度上进行沟通,并可以提供信号背景,以帮助推动零信任中的架构组件做出的决定,这将在宗旨7中讨论。

2. 所有通信都是安全的,无论网络位置如何。

在零信任环境中,零信任网络访问(ZTNA)的概念得以实现。这与传统的远程访问模式形成了鲜明的对比,在传统的远程访问模式中,用户可以对VPN进行认证,然后在网络内/跨网络不受限制地访问。

在ZTNA环境中,访问策略是默认到拒绝。明确的访问必须被授予特定的资源。此外,在ZTNA环境中操作的用户甚至不会意识到环境中的应用程序和服务,如果没有这些明确的访问授权存在。你很难转到你不知道存在的东西。

今天,地理上分散的劳动力,由于COVID大流行而进一步加剧,使得宗旨2对组织来说更加关键,现在有很大一部分的劳动力从许多地方和设备上访问内部资源。

3. 对单个企业资源的访问是以会话为基础的。

"就像季节一样,人也在变化"。这句话对于数字身份来说更是如此。在分布式计算环境、云原生架构和不断暴露在一连串威胁下的分布式劳动力的动态性质中,信任的概念不应超出单个会话的范围。

这意味着,仅仅因为你在以前的会话中信任一个设备或身份,并不意味着你在以后的会话中本质上信任他们。每个会话都应涉及相同的严格性,以确定设备和身份对你的环境构成的威胁。与用户相关的异常行为,或设备安全态势的变化,都是可能发生的一些变化,应在每个会话中使用,以决定访问和程度。

4. 对资源的访问是由动态策略决定的--包括客户身份、应用/服务和请求资产的可观察状态,并可能包括其他行为和环境属性。

现代计算环境是复杂的,并且远远超出了一个组织的传统边界。应对这一现实的方法之一是利用所谓的 "信号",在你的环境中做出访问控制决策。

一个可视化的好方法是通过微软的条件访问图。访问和授权决策应该考虑到信号。这些信号可以是诸如用户和位置、设备及其相关的安全状况、实时风险和应用环境。这些信号应该支持决策过程,如授予完全访问、有限访问或完全不访问。你也可以根据这些信号采取额外的措施,要求更高水平的认证保证,如多因素认证(MFA),并根据这些信号限制授予的访问级别。

5. 企业监控和测量所有拥有的和相关资产的完整性和安全态势。

在零信任模式中,没有任何设备或资产是固有的信任。每个资源请求都应触发安全态势评估。这包括持续监控能够访问环境的企业资产的状态,无论这些资产是由企业还是其他实体拥有,如果它们能够访问内部资源。这包括根据从持续监测和报告中获得的洞察力,快速应用补丁和漏洞修复。回到前面关于每个会话访问的例子,可以检查设备状态,以确保它没有关键的漏洞存在或缺乏重要的安全修复和补丁。

从这种对所拥有的和相关的资产的完整性和安全状况的动态洞察和监测中,可以围绕授予的访问水平做出政策和决定,如果有的话。

6. 所有的资源认证和授权都是动态的,并在允许访问之前严格执行。

正如前面的例子所讨论的,授予访问权和信任的概念是以一种动态和持续的方式发生的。这意味着它是一个扫描设备和资产的连续循环,使用信号以获得更多的洞察力,并在作出信任决定之前对其进行评估。这是一个持续的动态过程,一旦用户创建了一个具有相关资源权限的账户,就不会停止。这是一个反复的过程,每个政策执行的决定都有无数的因素在起作用。

7. 企业尽可能多地收集有关资产、网络基础设施和通信现状的信息,并利用这些信息来改善其安全状况。

技术环境受到无数的威胁,企业必须保持持续的监控能力,以确保他们了解其环境中发生的事情。零信任架构由三个核心部分组成:

从资产、网络基础设施和通信的当前状态收集的信息被这些核心架构组件用来加强决策,并确保避免有关访问的风险决策批准。

零信任是一个旅程

许多组织犯的一个常见错误是把零信任当作一个目的地。如果他们只是购买了正确的工具,他们将在其环境中实施零信任。这不是它的工作方式。当然,工具可以帮助实现零信任的各个方面,使你的组织更接近于零信任架构,但它们不是万能的。与IT和网络安全领域的大多数事情一样,它由人、流程和技术组成。

正如美国国家安全局(NSA)的出版物《拥抱零信任安全模式》中所述,主要的建议包括从成熟度的角度来对待零信任。正如NSA所描述的那样,这包括初始准备和基本、中级和高级的成熟阶段。

说到这里,第一步是准备。找出你的位置,你的差距在哪里,你的架构、实践和流程如何与上述零信任原则保持一致,然后制定一个计划来解决这些问题,最重要的是,接受这需要时间。

来源:IT168网站内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯