什么是零信任网络架构?
发布日期:2022-05-06什么是零信任网络架构?
零信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA 方法,信任永远不会被隐式授予,必须不断评估。ZTNA - 也称为零信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。
作为一种安全架构,零信任的目标是为数据和应用程序提供更安全的访问,即使是远程工作人员也是如此。由于当今的组织在更加复杂、互联的生态系统和云服务中工作,零信任可以帮助组织抵御来自外部和内部威胁的恶意活动,并防止代价高昂的数据泄露。
随着越来越多的组织寻求改善其网络安全状况的方法,零信任正在获得关注。更棒的是,用户访问的零信任模型可以适应任何规模的组织。无论您是小型企业还是大型企业,都可以实施零信任来提高安全性。
零信任有什么好处?
数字化转型为组织扩大市场、增加销售额和提高生产力创造了新的机会。但这种转变也开辟了新的攻击媒介,并扩大了恶意攻击者的攻击面,这些攻击者现在部署了越来越复杂的威胁,包括恶意软件、网络钓鱼攻击和勒索软件。更糟糕的是,员工和“受信任的”供应商和合作伙伴往往是系统的入口,无论是无意的受害者还是故意恶意的内部人员。
零信任网络架构的主要优势在于,它有助于为当今现代 IT 环境中的数字身份提供强大的方法。IT 安全团队不能再简单地用防火墙保护他们的网络架构。当今的复杂环境现在包括移动设备、云环境、DevOps、BYOD、IoT 设备等。零信任可以向所有身份授予详细的访问权限和权限——所有用户、所有端点设备以及所有自动化机器和应用程序进程。
此外,ZTNA 是一种强大的设计,不仅可以关闭试图获得访问权限的外部威胁的漏洞,还可以控制网络内部的横向移动。通常,组织较少关注内部控制和系统配置,而是关注建立外部边界。以刚才提到的恶意内部人员为例,他们经常试图利用自己的“受信任”状态和凭据来访问其他未被发现的系统。零信任通过从不为任何身份隐式授予信任来填补安全漏洞。
除了零信任提供的强大身份安全优势之外,零信任的另一个好处是它不是一个全有或全无的命题。组织可以逐步实施零信任,而无需立即对其现有网络基础设施和云安全进行全面检修。例如,您可以,事实上,美国国家安全局 (NSA) 已经确定并推荐了三个零信任成熟度级别:
基本:实现对数据和应用程序的基本集成安全访问。
中级:优化您的集成功能并添加更多功能。
高级:通过强大的分析和编排部署高级保护和控制。
这种灵活的实施策略可以帮助 IT 团队为任何规模的组织节省时间和金钱,并且可以为大型企业扩展。
零信任网络架构如何工作?
除非明确允许用户或机器,否则零信任网络架构拒绝访问资源。没有隐含的信任关系。此外,对于每个身份,每次请求访问时,这些访问权限都会被实时评估和批准(或拒绝)。这种“从不信任,始终验证”验证策略是零信任和传统网络安全模型之间的主要区别。
ZTNA 的工作方式是通过多种方法进行的,包括用户身份验证、授权和检查,并且基于用户身份、位置、操作系统和固件版本以及端点硬件类型等标准。零信任方法提供细粒度、最小权限的访问来限制横向移动。
零信任安全模型的三个阶段
Gartner 为零信任网络访问定义了一个三阶段策略,该策略通过预测、预防、检测和响应攻击来提供自适应安全态势。
攻击防护:攻击防护是一种防御性安全态势,可将恶意攻击拒之门外。例如,可以部署网络分段和微分段等隔离技术来强化网络边界。攻击预防还包括在攻击发生之前对其进行预测,以及在威胁发生后快速发现、遏制和补救。
访问保护:访问保护是一种访问管理形式,旨在让受信任的流量进入。设置访问安全策略、监控使用和管理使用的组合创建了一个自适应访问保护模型。
持续可见性和评估:为了保持遵守和执行零信任网络访问政策和系统,组织应实施程序以对其环境进行持续可见性和评估。这些程序是实施 ZTNA 态势、对其进行监控和调整的持续循环。
零信任与 SASE 有何不同?
安全访问服务边缘 (SASE)是当今流行的另一种安全框架,它也被开发用于提供对应用程序和数据的安全访问。SASE 最初在 2019 年被 Gartner 定义为“包括软件定义广域网 (SD-WAN)、安全 Web 网关 (SWG)、云访问安全代理 (CASB)、防火墙即服务 (FWaaS)和零信任网络访问 (ZTNA) 作为核心能力,能够识别敏感数据或恶意软件,能够以线速解密内容,并持续监控会话的风险和信任级别。” 换句话说,SASE 是一个包含零信任网络架构的总称。
SASE 和 ZTNA 都是现代安全架构的重要组成部分,但它们是不同的。SASE 提供基于强大数字身份的全面、多方面的安全框架,无论用户或机器位于何处。另一方面,ZTNA 是 SASE 的一个组成部分。零信任仅关注资源访问策略和控制。当它们一起使用时,它们可以提供更全面的安全解决方案,能够有效地保护当今的现代 IT 生态系统。
如何构建零信任架构?
归根结底,ZTNA 是一种强大的身份安全策略,可降低风险,使黑客和恶意内部人员的机会更少。而且这样做不会损害用户体验。为了实施这种安全方法,组织需要严格控制每个人和机器身份的访问和权限。
但是,如何构建零信任架构是复杂的,因为已经很复杂的环境进一步扩展,包括使用 VPN 和移动设备的远程工作人员、部署在混合和多云环境中的云服务、开发人员在 DevOps 环境中生成代码、所有部门使用机器人流程自动化 (RPA)、广泛部署的连接到系统的 IoT 设备以及许多其他企业应用程序。负担过重的 IT 团队几乎不可能有效地管理所有这些身份并有效地防止使组织面临数据泄露和盗窃的故障。
这就是 PKI 迎接挑战的地方。对于零信任,没有比使用公钥基础设施 (PKI) 构建的数字证书提供的数字身份更强大、更易于使用的身份验证和加密解决方案了。2020 年 2 月,美国国家标准与技术研究院 (NIST) 发布了“零信任架构”报告,其中 NIST 将 PKI 描述为零信任架构的重要组成部分。
您可以使用数字证书构建零信任解决方案的一些方法包括:
用用户身份证书替换密码
自动颁发和更新 SSL/TLS 证书
使用 S/MIME 证书保护电子邮件
通过文档签名保护关键工作流程
此外,与多因素身份验证 (MFA) 或双因素身份验证 (2FA) 相比,数字证书具有显着优势。诚然,MFA 和 2FA 旨在通过引入诸如 SMS 推送通知、一次性密码 (OTP) 或硬件令牌等额外步骤来增强身份验证安全性,而不仅仅是使用简单的密码。但与 MFA 不同的是,数字证书为在零信任网络架构中验证和保护身份提供了至关重要的好处,包括不易被盗的基于加密的凭据、部署用于任何身份用例而不仅仅是用户、可扩展的配置和管理、不会影响用户体验,并降低总拥有成本 (TCO)。
本文翻译自:https://sectigo.com/resource-library/what-is-zero-trust-network-architecture
声明:本文相关资讯来自sectigo.com,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站删除。