介绍
零信任架构 (ZTA) 是一种基于“永不信任,始终验证”原则的安全框架。在传统的网络安全模型中,一旦用户和设备进入边界,他们通常就会被授予对资源和系统的不受限制的访问权限。然而,随着网络威胁日益复杂以及远程工作和云计算的兴起,这种基于边界的方法已不足以保护敏感数据和系统。零信任架构假设威胁可能已经存在于网络内部和外部。因此,它要求验证所有试图访问资源的用户、设备和应用程序,无论它们位于何处或网络连接如何。
一个。零信任架构的原则
1. 验证
始终根据所有可用数据点进行身份验证和授权,包括用户身份、设备健康状况、位置和其他背景因素。
2.限制访问
根据用户的身份和上下文信息授予尽可能最小的特权访问权限。
3. 假设违约
零信任架构并不假设企业防火墙后面的一切都是安全的,而是假设威胁可能来自任何地方,因此会持续监控潜在的漏洞。
4. 微分段
将网络划分为更小的、独立的部分,以最大限度地减少
攻击者在网络内的横向移动。
5. 检查并记录
持续监控并记录所有流量,以实时检测和应对异常或可疑活动。
B.使用 ZTA 实现 IAM
在零信任架构 (ZTA) 框架内实施身份和访问管理 (IAM) 涉及
身份验证、授权和持续监控的综合方法。
以下是分步指南:
1. 集中式策略执行
ZTA 强调了严格的访问控制和策略的必要性。IAM 的集中管理允许组织对所有用户、设备和应用程序实施一致的访问策略,无论其位置或网络边界如何。这可确保根据身份和上下文因素授予访问权限,而不是仅依赖网络边界。
2. 识别和定义资源
首先确定组织内的所有资源,包括应用程序、数据、网络和设备。根据这些资源的敏感性和关键性对其进行分类。
3. 用户身份验证
实施强大的身份验证机制,例如多因素身份验证 (MFA),以在授予资源访问权限之前验证用户的身份。这可确保只有授权用户才能访问网络。
4. 设备健康验证
验证尝试连接到网络的设备的健康和安全状况。这可以通过端点安全解决方案(例如防病毒软件、防火墙和设备管理工具)来实现。不符合安全标准的设备应被拒绝访问或置于受限网段中。
5. 上下文访问控制
根据用户角色、位置、访问时间和设备类型等情境因素应用访问策略。例如,与从公司网络内访问相同数据相比,从远程位置访问敏感数据的用户可能需要额外的身份验证步骤。
6. 最小权限访问
授予用户履行工作职责所需的最低访问权限。根据角色或职责的变化定期审查和更新访问权限。
7. 最小化攻击面
特权账户通常可以访问关键系统和敏感数据,因此成为攻击者的主要目标。通过为这些账户实施额外的安全措施,例如多因素身份验证 (MFA)、强密码策略和特权访问管理 (PAM) 解决方案,组织可以降低未经授权访问的风险并
最大限度地减少攻击面。
C.ZTA最佳实践
1.持续流量监控
持续监控网络流量以验证所有设备并确保其合法性。
2. 及时更新设备
迅速修补设备上的漏洞,以防止潜在的攻击并增强整体安全性。
3. 遵守最小特权原则(POLP)
强制执行特定工作职能所需的最低访问权限,以降低未经授权访问的风险。
4.网络分段
创建更小、更易于管理的网络段,以有效控制和隔离潜在的漏洞,从而限制其影响。
5. 使用 MFA 增强安全性
利用基于硬件的安全令牌来实现多因素身份验证 (MFA),加强安全措施并防止未经授权的访问。
D. 值得深思的问题
1. 以下哪种场景最能体现零信任架构 (ZTA) 原则在组织网络安全策略中的实施?
A. 该组织维持传统的基于边界的安全模型,其中企业网络内的用户无需身份验证即可不受限制地访问所有资源。B
. 该组织已部署网络分段策略,将网络划分为多个隔离段,每个段都有自己的访问控制和身份验证机制。根据用户身份和上下文因素严格控制对资源的访问。C
. 该组织依靠单因素身份验证机制(例如用户名和密码)向所有用户授予访问权限,无论他们的位置或他们试图访问的资源的敏感度如何。D
. 该组织信任其网络边界内的所有设备,并仅根据设备的 IP 地址授予访问权限,而不考虑其他上下文因素,例如用户身份或设备健康状态。
2. 下列哪项不是零信任架构(ZTA)的基本组成部分?
A. 微分段
B. 对所有内部用户的隐性信任
C. 持续身份验证
D. 强制实施最小权限访问
3. 以下哪项最能描述零信任架构(ZTA)?
A. 信任组织网络范围内的所有用户和设备。B
. 根据网络位置自动授予访问权限。C
. 验证和认证每个访问请求,无论其来源如何。D
. 仅限特定网络段内的授权用户访问
原文始发于微信公众号(KK安全说):零信任架构 (ZTA) 概论
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论