技术干货 | 企业信息安全建设实践之路(九)

admin 2022年1月12日22:51:56评论71 views字数 3108阅读10分21秒阅读模式

免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!

作者简介

80后信息安全从业人员,目前是某公司安全【掌门人】,负责信息安全管理和建设工作。本系列是其对安全建设工作的实践总结。

技术干货 | 企业信息安全建设实践之路(九)

四. 浅谈零信任在传统企业的意义

作为本系列作品的最终章,笔者针对最近比较火的“零信任”网络实施中的一些经验,和大家分享一下。

笔者认为,零信任10年,正好经历了3个阶段的发展。

01 出现:自从2010年Forrester资深分析师John Kindervag第一次提出,并经过Google BeyondCorp项目落地之后,零信任概念在业界已经得到广泛传播。

02 发展:微分域(Micro-segmentation)、软件定义边界(SDP)等技术趋向成熟。2019年的RSAC,让零信任成为最热门的讨论主题;2020年8月NIST NCCoE(国家网络安全卓越中心)发布了《实施零信任架构》项目说明书(正式版),将零信任推向顶峰。

【下载地址:https://csrc.nist.gov/publications/detail/white-paper/2020/10/21/implementing-a-zero-trust-architecture/final】              

03 从正向发展到“鱼龙混杂”:从最开始踏踏实实向“最少特权”这个方向努力,各种开源软件项目(如:BeyondCorp项目等)井喷,目标是与业务向结合,到“蹭热度”的现有产品改造,零信任VPN、零信任防火墙等。

更有一些“挂羊头卖狗肉”的情况,这里笔者就不一一列举了,总之提醒大家,多学习了解,提升自身的辨别能力了。

技术干货 | 企业信息安全建设实践之路(九)

4.1  浅谈什么是【传统信任架构模型】

边界信任是最常见的传统信任模型。所谓边界信任就是明确什么是可信任的设备或网络环境,什么是不可信任的设备或网络环境,并在这两者之间建立“城墙”,从而保证不可信任的设备或网络环境无法在携带威胁信息的情况下,访问到可信任的设备或网络环境的信息。

技术干货 | 企业信息安全建设实践之路(九)

典型的边界信任模型架构图,认为:1)Internet为不可信任的区域;2)DMZ区域是类似防火墙的区域;3)Trusted与Privileged为信任区域。

风险分析:【 FW 】是边界信任的核心!如果威胁超出防火墙防护范围?如果攻击者绕过了防火墙?如果无法识别可信设备对其他可信设备的访问防御?

(笔者,打一个大大的?真的是这样么)

4.2  浅谈什么是【“零信任”架构模型】

首先零信任网络的概念是建立在5个基本假设之上的:

1) 网络始终是暴露在危险之中

2)  无论外网或者内网,危险始终存在

3)  不存在可信任的网络区域,网络区域不能作为判断网络可信的决定因素

4)  所有设备,用户和网络流量在访问时都应经过认证和授权

5)  认证和授权的策略必须是基于所有可能数据,并加以计算得到的


PS:原文如下:

技术干货 | 企业信息安全建设实践之路(九)

“零信任”架构的定义:支持“零信任”模型能正常运行的核心是一个被称为Control Plane/控制平面的组件。即,所有访问敏感信息的请求都应该先经过控制平台,由控制平台对访问进行评估,决定此次访问需要提供什么等级的认证信息,再校验访问所携带的认证信息是否达到标准,从而实现认证,当认证成功后,再对访问进行授权,若认证失败,则拒绝访问。【PS:笔者首先想到的是 SSL VPN、堡垒机等】

零信任原型架构:

技术干货 | 企业信息安全建设实践之路(九)

“零信任”模型是一种“信任细化”的设计,即“摒弃” 了边界信任模型“过度信任”的一刀切做法,采用对信任在访问维度,设备维度和时间维度的细化处理,再加上认证和授权体系的动态化,使得权限授权也是被细化处理的。

(看起来很高大上,但要在企业落地如何实现呢?笔者再打一个大大的?)

4.3  浅谈制造企业信息安全现状

笔者在制造行业就职多年,总结特定如下:1)系统多;2)模块多;3)角色多;4)账号多;5)行为多。

技术干货 | 企业信息安全建设实践之路(九)

控制难点:

1)如何进行认证管理?是统一认证 还是 分开认证?如何落实等级保护相关要求?

2)如何确认可信设备、可信边界、可信链路?因为有对外提供服务的系统,有对内提供服务的系统,还有很多数据在多个系统中流转。

3)如何有效的实施信息安全策略,并快速发现和响应处理安全事件,确保运维风险可控?

4)以资产为基础的信息安全体系,如何通过“零信任”架构,建立“安全管理体系”、“安全技术体系”、“安全运维体系”的纽带?可行么?

技术干货 | 企业信息安全建设实践之路(九)

4.4  如何“抽丝剥茧”先要看企业自身处于哪个阶段

这里,我们就要引入“网络安全成熟度模型”来进行讨论了。

…………

技术干货 | 企业信息安全建设实践之路(九)

Ⅰ.初级防护

初级防护是安全成熟度的最低级别,可以理解为组织机构还未开始重视安全建设,没有成型的安全工作思路,具体的安全防护也非常的薄弱。

初级防护级别的基本特征为:1)缺乏安全人员;2)安全控制无效;3)事件被动响应

Ⅱ.基础防范

基础防范是安全成熟度的第二个级别,可以理解为组织机构已经进行了安全建设,安全技术与安全管理相关工作已经开展,但是安全建设都是按点进行控制,相对比较零散、无序。

基础防范级别基本特征:1)人员能力不足;2)技术按点控制;3)安全制度零散;4)安全工作无序

Ⅲ.体系化控制

体系化控制级别是安全成熟度的第三个级别,可以理解为组织已经建立起了相对完善的安全安全体系,信息安全风险控制机制已经建立并有效运行,在安全组织、技术、制度、运行等方面已经全面进行体系化控制,此时安全体系是基本上是大而全的最佳实践堆叠。

体系化控制级别基本特征:1)成立安全组织;2)完善安全架构;3)安全控制落地;4)安全管理有序;5)风险控制有效

Ⅳ.主动性防御

主动性防御是安全成熟度的第四个级别,可以理解为组织开始以自身网络安全刚性需求为工作导向,为了达到自身刚需目标而充分融合技术与管理手段,并能够对安全体系进行量化的控制与绩效评价,最终实现安全主动性防御的目标。

主动性防御级别基本特征:1)安全资源可调度;2)全景网络流量分析;3)高级持续威胁防御;4)安全策略分析可视;5)信息系统可靠运行;6)核心数据安全可控

Ⅴ.安全业务融合

安全与业务融合是安全成熟度的最高级别,可以理解为网络安全已经上升到企业风险治理的高度,网络安全与业务风险已经开始逐步融合,网络安全建设与业务风险控制已经很难在划清明显的界线,已经具备基于业务安全进行态势感知与攻防对抗的能力。

安全与业务融合级别基本特征:1)防御体系智能化;2)达到风险治理要求;3)安全业务风险融合;4)业务性能分析管理;5)安全态势感知平台;6)具备安全对抗能力

所谓“知己知彼,百战不殆”,先了解企业自身当前所处状态,需要核心解决的问题,再有的放矢的考虑零信任能够为企业创造的价值。

4.5  制造企业建设“零信任”的第一步,应该怎么走

实施零信任架构:

技术干货 | 企业信息安全建设实践之路(九)

具体步骤如下:

技术干货 | 企业信息安全建设实践之路(九)

4.6  再看“零信任”!

这部分内容就不多阐述了,感兴趣的朋友可以去看我之前的演讲:

技术干货 | 企业信息安全建设实践之路(九)
技术干货 | 企业信息安全建设实践之路(九)

笔者认为,不矛盾!!!

只是信息安全防御到了一定阶段的必然解决方案而已!

最后,感谢安世加一直以来的鼓励与支持,更感谢同行们的认可与阅读。

我们下期见!

相关链接:

技术干货 | 企业信息安全建设实践之路(八)

技术干货 | 企业信息安全建设实践之路(七)

技术干货 | 企业信息安全建设实践之路(六)

技术干货 | 企业信息安全建设实践之路(五)

技术干货 | 企业信息安全建设实践之路(四)

技术干货 | 企业信息安全建设实践之路(三)

技术干货 | 企业信息安全建设实践之路(二)

技术干货 | 企业信息安全建设实践之路(一)


本文始发于微信公众号(安世加):技术干货 | 企业信息安全建设实践之路(九)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月12日22:51:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   技术干货 | 企业信息安全建设实践之路(九)http://cn-sec.com/archives/516246.html

发表评论

匿名网友 填写信息