虽然没人想大声说出安静的部分,但安全并不容易。如果是的话,就不会有这么多成功的网络攻击了。几乎所有人都同意零信任安全模型背后的概念是有意义的。不要假设任何人或任何东西都可以访问网络,而要假设相反的情况。无论在网络外围还是内部,任何东西都不能被信任。
零信任理论上听起来不错,但组织实施起来却很慢。根据ESG最近的一份报告,“零信任安全战略的状态”,只有13%的组织严格遵守零信任原则,54%的组织致力于零信任的时间不到两年。尽管74%的人对概念非常熟悉,但76%的人认为零信任的实现非常复杂。
人们很容易陷在技术的泥沼中,沉湎于复杂性之中。如何将另一个产品或一套产品集成到已经具有挑战性的网络环境中?
关键是一步一步来,用你拥有的资源做你能做的事情。大多数组织已经有了一些零信任的元素,例如限制对应用程序的访问或多因素身份验证.您可以从改进现有的功能开始,然后随着时间的推移添加更多的零信任功能。
拥抱零信任的心态
在其核心,零信任是一种哲学或心态,而不是一种特定的产品。无论您处于零信任旅程的哪个阶段,您都可以通过零信任安全方法和框架来增强您的安全态势。
在零信任的情况下,核心思想是,您的网络上的每个设备都可能受到感染,任何用户都有可能危及关键资源。有了这种新的思维模式,你的注意力就会一直准确地知道在任何给定的时刻网络上有谁和什么。其次,您需要确保这些用户和设备只提供最低级别的访问权限,以便他们完成工作。最后,他们需要的任何资源都应该只在“需要知道”的基础上访问,而不管他们的位置或职能。
第一步是通过使用网络访问控制(南汽)来发现和识别每一台正在使用或正在寻求访问网络的设备,并确保它没有被入侵。
微观分割是零信任的另一个关键组成部分。使用网络微分段,每个设备都根据许多因素(包括设备类型、功能和网络中的用途)被分配到适当的网络区域。基于意图的细分可以基于特定的业务目标智能地细分设备,例如遵从性要求,如GDPR隐私法或PCI-DSS交易保护。
用户身份是零信任的另一个基石。与设备一样,每个用户都需要标识,以及他们在组织中扮演的角色。零信任模型关注于“最小访问策略”,该策略只授予用户对其角色或工作所必需的资源的访问权。而获得额外资源的机会只在个案基础上提供。
在这一点上,每个组织都应该使用多因素身份验证,所以如果您没有,这是需要改进的关键领域。AAA (Authentication, authorization, and account)服务、访问管理和单点登录(single sign-on, SSO)用于根据用户在组织中的角色识别和应用适当的访问策略。可以通过用户登录、多因素输入或证书进一步验证用户身份,然后将其绑定到基于角色的访问控制(RBAC),以将经过身份验证的用户匹配到特定的访问权限和服务。
从你所在的地方开始
身份验证、控制访问和用户标识都是零信任的元素。充实你已经拥有的东西是尽快开始你的零信任旅程的一个简单方法。例如,您可以从一次身份验证转变为对每个会话进行身份验证。添加一个防火墙一个在边缘,一个在你的数据中心。2020欧洲杯预赛更好的是,有一个防火墙可以同时处理这两个问题零信任网络访问和SD-WAN同时。或者考虑部署更多的分割防火墙来创建更多的区域来控制。采取措施更好地限制对应用程序的访问。
无论你在哪里,你总是可以通过零信任的概念来增强你的安全姿态。但要确保你做对了。你最不想做的就是让人们的工作更加困难。因此,要谨慎地、渐进地实施更改,以最大限度地减少中断。
记住,零信任是一场马拉松,而不是短跑。虽然这可能需要很多工作,但最终是值得的。
了解更多关于来自Fortinet的零信任解决方案使组织能够查看和控制整个网络上的所有设备、用户和应用程序。