Zero Trust依赖于不断重新授权用户、应用程序和设备,以在环境中建立无数的“一个周长”,但名称并不十分准确。
零信任并不是字面上的零信任;这意味着零隐式的信任。你——无论是指一个人,还是一个软件或硬件系统——不能仅仅因为你在网络上的位置而受到信任;没有网络范围内,您自动信任连接到服务。你不值得信任现在仅仅因为你第一次进入网络时受到了信任;获得一次认可并不等同于持续的信任。而且,仅仅因为信任您可以建立上一个服务连接,就不能信任您来建立您现在试图建立的新服务连接。
因此,在ZT环境中,每当某人或某物试图连接到某个服务时,都会再次对他们进行身份验证,并重新验证他们使用该服务的权利(此时,无论他们在哪里)。在架构上,策略决策点使用一个信任的地图在指示一个或多个请求之前评估请求策略实施点阻塞或允许请求的会话。“当时”是“零信任”的一个关键方面。信任图是动态的,理想情况下,它是基于针对实际的、正在进行的网络活动运行的行为威胁分析实时更新的。
另一个关键点是:零信任是一种方法,而不是一种产品。ZT可以在网络级(Zero Trust网络访问,ZTNA)、应用程序级和数据级实现,单个产品不能跨所有三个领域。
软件定义的边界:没有反馈循环的零信任
软件定义的边界(SDP)这个概念实际上早于“零信任”。它在网络层实现了整个决策点/信任映射/执行点体系结构。也就是说,它是关于控制数据包何时允许流动的。当不允许节点A访问节点B上的服务时,甚至无法检测到节点B在网络上;发送到节点B的数据包将被丢弃。如果允许节点A通过端口443访问加密的web服务,那么它将无法将数据包发送到任何其他端口。它“几乎”为零信任是因为,正如定义的那样,SDP不需要行为反馈循环,而零信任使用这种行为反馈循环来保持信任图的更新。然而,供应商正在缩小这一差距,将他们的解决方案变成成熟的ZTNA系统。
SDP是迈向完全零信任的一大步,它可以用来控制从已知设备(无论是在公司网络上还是远程上)对公司服务的访问,无论是在数据中心还是在云上。2020欧洲杯预赛
SDP是个很好的开始
使用SDP取代vpn来远程访问公司资源是ZT在许多网络中的第一次使用案例,因为
- 它是一个需要解决的定义良好的问题,包含有限的和已知的用例
- 对于管理员和用户来说,当前的VPN解决方案通常都很古怪
- 容易中断,所以用户会话下降
- 容易错误地配置
- 当许多具有不同访问需求的组共享它们,或者在基础设施中有多个安全竖井要管理访问时,管理起来很复杂,
- 经常阻碍快速、可靠地访问受保护的系统
- 管理具有广泛不同访问需求的组和个人是设计SDP的核心目的
- 类似vpn的访问控制级别很容易复制
- SDP使得快速获取更细粒度的访问权限变得容易
首先要彻底规划ZTNA
Nemertes最近在网络安全方面的研究安全云访问和政策执行研究报告2021-22,发现最成功的安全组织接受零信任的方法不同于大多数。其他人则迅速投入工作,不仅在工作的第一阶段定义他们的零信任体系结构,而且还开始重新架构网络和安全,购买工具,并组建他们的实现团队。相反,更成功的组织将工作的第一阶段限制为定义ZT体系结构。从那时起,他们开始着手重新构建网络和安全体系,然后才着手实施。
结论是,现在就对未来的网络安全抱有零信任。为您的组织定义一个Zero Trust架构,然后重新评估网络和安全架构,从而开始您的Zero Trust之旅。当您决定从何处开始实现时,请仔细查看SDP。这不仅是改善你的安全状况的一个逻辑起点,而且在改善用户体验和减少网络安全工作人员的工作量方面有显著的回报。