1.零信任(Zero trust)
零信任(Zero Trust,ZT)是一种网络安全模型,其核心理念是不再默认信任任何内外部网络,所有访问请求都需要经过严格的身份验证和授权。零信任的目标是通过强制执行最小权限原则,确保数据和服务在任何情况下都能得到保护。零信任的实现需要一个综合的框架,涵盖以下五个关键支柱:
身份验证(Identity):确保所有用户和设备的身份是已知的,并通过强认证机制(如多因素认证)进行验证。
设备安全(Device Security):持续监控和评估设备的安全状态,确保只有符合安全标准的设备才能访问网络资源。
应用和工作负载(Application and Workload):确保应用程序和工作负载的安全,通过安全开发生命周期和持续监控来保护应用程序免受攻击。
网络安全(Network Security):通过分段和加密来保护网络流量,确保数据在传输过程中不被窃取或篡改。
数据安全(Data Security):保护数据在整个生命周期内的安全,包括数据的创建、存储、传输和销毁。
要实现零信任路径包括:首先,组织需要评估其当前的安全状况,识别潜在的威胁和漏洞,基于评估结果,制定零信任策略,包括身份管理。其次选择适合的技术和工具,如多因素认证(MFA)、安全访问服务边缘(SASE)等,逐步实施零信任策略,从最关键的领域开始,逐步扩展到整个组织。持续监控安全状况,及时调整和改进零信任策略,确保其始终有效。
2.安全服务边缘(Secure Service Edge,SSE)
安全服务边缘(SSE)是一种综合性的云安全架构,整合了多种安全功能,旨在提供安全的互联网浏览、更安全的软件即服务(SaaS)应用访问和用户验证。SSE通过一个单一的平台将网络、安全实践和政策结合在一起,使组织能够确保无论用户设备或位置如何,都能实现应用安全和数据访问。
3.安全访问服务边缘(Secure Access Service Edge, SASE)
安全访问服务边缘(SASE)是一种云架构,将网络和安全功能结合起来,通过一个综合的云服务平台为组织提供统一的管理和安全保障。SASE结合了软件定义广域网(SD-WAN)、云安全Web网关(SWG)、云访问安全代理(CASB)、下一代防火墙(NGFW)和零信任网络访问(ZTNA)等技术,以实现更高效、更安全的网络访问。
4.最佳实践
文件建议组织在实施ZT、SSE、SASE和硬件强制解决方案时,评估自身安全状况并执行风险分析。此外,还提出了一系列最佳实践,如:
-
实施集中管理解决方案。
-
实施网络分段,默认拒绝所有连接,除非明确允许。
-
实施安全编排、自动化和响应(SOAR)。
-
维护并定期更新IT和OT网络的网络安全事件响应计划。
-
自动化并验证公共资产的漏洞扫描。
今年以来,美国国家安全局(NSA)和网络安全和基础设施安全局(CISA)发布多份文件关注零信任建设:NSA发布了《拥抱零信任安全模型》、《在用户支柱中推进零信任成熟度》和《在设备支柱中推进零信任成熟度》等,帮助组织在不同领域实施零信任策略。CISA除这份文件外,还发布了《零信任成熟度模型版本2.0》,该文件涵盖了身份、设备、网络、应用和工作负载、数据五个支柱,并结合了跨部门的能力,以逐步实现零信任目标。
可见,零信任已经成为美国2024年网络安全战略的重要组成部分。
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
欢迎联络咨询:邮件:[email protected];电话:021-61432693。
原文始发于微信公众号(赛博研究院):CISA发布现代网络访问安全方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论