现在对零信任的定义满天飞,总能听到各种像原理、支柱、基础、要点之类的词。虽然说对零信任的定义暂时来看并不绝对,但是必然还是需要一个共同能理解的概念。因此,NIST发布了NIST SP 800-27零信任结构,描述了零信任的七个要点。
成都创新互联-专业网站定制、快速模板网站建设、高性价比君山网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式君山网站制作公司更省心,省钱,快速模板网站建设找我们,业务覆盖君山地区。费用合理售后完善,十载实体公司更值得信赖。
现在已经不是只把终端用户设备或者服务器认为是资源的时代了。如今的网络由各种动态的设备组成,包括从传统的服务器以及端点,到像功能即服务(function-as-a-service, FaaS)这类能在特定许可下对环境中其他资源进行操作的动态云计算服务。
对于所有在自身环境中的数据以及计算资源,资源拥有者必须确保自己有最基本的高级认证控制,以及最低许可的接入控制。同时为了满足之后的要点,所有的资源必须在一定程度上能够进行相互之间的交互,提供关联信号,协助零信任中的一些结构组件进行决策。
在零信任环境中,会落实零信任网络访问(zero trust network access, ZTNA)概念。这和传统的通过虚拟专用网进行远程接入相比有所不同。
在ZTNA环境,接入策略是默认拒绝的。接入必须对特定资源进行明确的许可。另外,在ZTNA中的用户不应该对这类许可有所感知。一般而言,很难改变自己感知不到的东西。
由于受疫情影响,如今地理位置分散的工作环境使得这第二点对组织更为重要。因为他们有大量的员工从许多位置和设备接入内部资源。
“人就和季节一样,会变化。”这个说法在数字身份时代更为可信。在分布式计算环境的动态环境下,云原生结构和分布的员工会暴露大量的威胁。信任的概念不能超过一个单独的会话窗口。
这意味着就算在之前的会话信任某个设备或者身份,也不代表着会自然地在之后的会话中对其信任。每个会话都应该以相同严格的标准来评估其从设备和身份而来的,对自身环境的威胁。和用户相关的不正常行为,或者设备安全状态的改变,都是可能会发生的问题,并且可能会发生的事情;并且这些事情都应该和每个会话相关联,对是否允许接入,以及接入的权限范围进行评估。
现代计算环境很复杂,会延展到远远超过组织传统边界以外的地方。一种解决这个情况的方式,是运用一种“信号”的方式,对自身环境进行接入控制决策。
通过微软的 Conditional Access图表进行可视化是个不错的方法。接入和许可的决策必须将信号放入考量之中。这些因素可以是用户和位置、设备以及其相关安全状态、实时风险和应用关联等。这些信号应该为许可完全接入、限制性接入或者不能接入的决策提供支持。企业还能基于这些信号进行额外的评估来要求更高等级的认证确保,比如进行多因子验证或者限制这些信号相关的接入等级。
在零信任模型中,没有设备或者资产是天然被信任的。每个资源的请求都必须触发一个安全状态评估。这包括了对接入环境的企业资产进行持续性状态监测,无论这些资产是企业自身拥有的,还是和其他实体相关联的——只要他们接入内部资源就都需要被监测到。同样,这还包括基于持续监测和报告的快速进行补丁修复。回到之前基于会话获得许可的例子上,这些设备的状态可以被检查,以确保它们没有高危漏洞,或者缺少重要的安全补丁。
通过这类动态对所有以及关联资产的完整性与安全状态的了解和监测,可以基于对许可的接入权限进行策略与决策的设定。
就跟之前讨论过的例子一样,接入许可与信任的概念是在一个动态持续的状态下进行的。这是一个持续动态的流程,并不会因为用户因为关联的接入许可创建了一个账号而停止。这是一个反复的流程,随着多种因素,贯彻策略的执行。
技术环境受到大量威胁的影响,因此企业必须保持连续监控,以确保能感知到自身环境内发生的事件。零信任架构由NIST 800-207中提到的三个关键组件组成:
在现有状态中获得的资产、网络基础设施和通信信息可以被这些组件用于提升决策能力,并且确保会形成风险的决策能避免出现。
许多组织都会犯的一个错误在于认为零信任是一个需要到达的目的地;他们认为只要他们买了正确的工具,就能在自己的环境中实现零信任。这显然不是零信任生效的方式。当然,工具可以帮助零信任的落地,使组织更接近零信任结构,但这并非是万灵药。就跟大部分IT和网络安全一样,它由人、流程和技术组成。
就像NSA发布的《拥抱零信任安全模型》文中那样,最重要的建议是从一个成熟的方式实践零信任,包括了最初的准备,以及基础、进阶和高级阶段的成熟度变化。
这就意味着,第一步是进行准备:知道自己现在的位置、需要填补和缺陷、当前架构、实践和流程如何能和上述零信任的关键要点相匹配。然后,设定一个如何解决这些问题的计划。最重要的是,要知道这些都是需要时间来检验的。
零信任的概念从去年才开始在国内逐渐受到重视。但是,零信任的落地并非一蹴而就的,除了技术之外,不仅需要制度和方法上的支持,也需要时间慢慢等待效果的出现。
分享标题:NIST:七条零信任要点
标题路径:http://www.shufengxianlan.com/qtweb/news8/519358.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联