零信任架构设计原则背景和原则目标摘要
1、了解架构,包括用户、设备、服务和数据
为了从零信任中获益,需要了解架构的每个组件。这将能够确定关键资源的位置、架构的主要风险,并避免在集成不支持零信任的遗留服务时出现任何后期陷阱。
2、了解用户、服务和设备身份
身份可以代表用户(人)、服务(软件过程)或设备。在零信任架构中,每个都应该是唯一可识别的。这是决定是否应该授予某人或某物访问数据或服务的最重要因素之一。
3、评估用户行为、设备和服务健康状况
用户行为以及服务或设备健康状况是建立对系统安全性的信心的重要指标,使它们成为策略引擎的重要信号。因此,能够衡量用户行为、设备和服务健康状况是零信任架构的关键。
4、使用策略来授权请求
每个对数据或服务的请求都应根据策略进行授权。零信任架构的强大之处在于您定义的访问策略。政策还有助于促进与来宾用户或合作伙伴组织的数据或服务的风险管理共享。
策略引擎是零信任架构的关键组件,它使用多个信号并提供适应所请求资源的灵活和安全的访问控制机制。
5、随时随地进行身份验证和授权
身份验证和授权决策应考虑多种信号,例如设备位置、设备健康状况、用户身份和状态,以评估与访问请求相关的风险。我们这样做是因为我们假设网络是敌对的,并希望确保访问数据或服务的所有连接都经过身份验证和授权。
6、将监控重点放在用户、设备和服务上
在零信任架构中,监控策略很可能会改变以专注于用户、设备和服务。监控这些设备、服务和用户行为将帮助建立他们的健康状况。监控应链接回设置的策略,以在其配置中获得保证。
7、不要相信任何网络,包括你自己的
不要信任设备与其访问的服务之间的任何网络,包括本地网络。通过网络进行通信以访问数据或服务,应使用安全传输协议来确保您的流量在传输过程中受到保护并且不易受到威胁。
零信任架构改变了实施恶意网站过滤和网络钓鱼保护等传统用户保护的方式,这些可能需要由零信任架构中的不同解决方案提供。
8、选择专为零信任设计的服务
服务可能不支持零信任,因此可能需要额外的资源来集成和增加支持开销。在这些情况下,考虑在设计时考虑到零信任的替代产品和服务可能是谨慎的做法。
使用利用基于标准的技术的产品可以更轻松地在服务和身份提供者之间进行集成和互操作。
一起了解6、7、8项:
6、零信任原则:将监控重点放在用户、设备和服务上
全面监控至关重要,因为设备和服务更容易受到网络攻击。
介绍
在零信任架构中,监控策略很可能会改变以专注于用户、设备和服务。监控用户的设备、服务和用户行为将帮助用户建立他们的网络健康状况。
监控应在设备上进行,并通过安全传输(例如 mTLS)导出到中央位置。用户行为,如正常工作时间或正常工作地点,是另一个需要监控的重要指标。了解用户的服务并了解用户与其数据之间的交互也很重要。该信息可以用作信号,观察到的任何异常活动都可以被策略引擎用来做出访问决策。
用户应该知道设备、用户和服务正在执行哪些操作以及他们正在访问哪些数据。用户的监控应链接回用户设置的策略,验证它们是否按用户预期执行。
保护性监控可能不得不移动
传统围墙网络架构中的用户设备应使用 VPN 通过受控路径发送所有流量。这使得能够在此受控路径上的中心位置进行监控。在零信任架构中,这个中心位置很可能不再是用户架构的一部分,因此必须将保护性监控转移到每个设备上。
评估用户行为、服务和设备健康状况,强调了对设备健康状况的信心的重要性,因为无法信任受损 -不健康- 设备提供可靠的监控,因为其日志可能已被篡改。
端点安全套件还可以提供良好的监控信息来源,因为它们具有检测威胁的功能,或对可能表明受到威胁的奇怪行为发出警报。
![英国国家网络安全中心:零信任架构设计原则(三)]( "英国国家网络安全中心:零信任架构设计原则(三)")
BYOD 和访客设备
如果用户使用自带设备 (BYOD),或者用户的环境中有访客设备,用户可能无法完全实现所有监控目标。在这种情况下,用户应该决定不要像可以完全监控的设备那样信任这些设备。
可以在 BYOD 部署中实施技术控制,从而提高对此类设备安全性的信心。这包括使用移动设备管理 (MDM)和移动应用程序管理 (MAM)解决方案。
BYOD 指南可以进一步帮助部署这些类型的设备,并确保用户的 BYOD 策略和控制补充零信任。
网络监控
尽管网络不受信任并且被认为是敌对的,但网络监控对于确保良好的性能和网络卫生仍然很重要。
应在用户的网络上进行监控以衡量性能、识别连接到用户网络的所有设备、检测恶意设备和恶意活动。如果用户托管本地服务,则尤其如此。
与设备监控相结合,网络监控可以帮助提高可见性和相关性。例如,用户可以将网络连接追溯到生成它们的设备上的进程。
7、零信任原则:任何网络均不可信
零信任将网络视为敌对的。必须在用户、设备和服务中建立信任。
介绍
不要相信设备与其访问的服务之间的任何网络,包括本地网络。通过网络进行通信以访问数据或服务,应使用安全传输,例如TLS。应配置设备以防止本地网络上存在的攻击。这包括 DNS 欺骗、中间人攻击和未经请求的入站连接。
针对基础网络服务(例如 DNS)的攻击通常只能通过封装在安全传输中来缓解。例如,应该确保用户访问的服务受到经过身份验证和加密的协议的保护。否则,它们可能仍需要受到现有解决方案的保护,例如公司VPN。
无论选择保护网络服务,都应该能够应用适当的监控。
强制执行设备使用政策
在零信任架构中,网络流量可能无法通过隧道返回中心点,这意味着无法检查和监控 Internet 流量。因此,需要在设备上实施强制执行 Internet 浏览策略的传统方法——阻止恶意域和未经授权使用网络协议。恶意 URL 和网络钓鱼检测等安全 Web 浏览功能应被视为设备安全功能。
如果无法使用设备安全功能强制执行 Internet 浏览策略,则可能必须通过托管云服务(例如托管云代理)路由 Internet 流量。
使用这些服务时,请确保考虑它们的可用性和安全状况。云安全原则可以帮助解决这个问题。
一般网络卫生
虽然网络应该被视为敌对和不受信任的,但保持网络上的网络卫生仍然很重要。例如,监控本地网络的未授权主机和修补网络组件。这将确保网络性能良好且可用。
8、零信任原则:选择专为零信任设计的服务
选择内置支持零信任网络架构的服务。
介绍
在选择零信任架构的组件时,用户应该更喜欢具有内置零信任支持的服务。
在零信任架构中,用户不能信任网络,因此需要设计服务以保护自己免受所有潜在攻击源的侵害。这包括可以直接向其公开组件的 Internet。
传统服务
某些服务,尤其是遗留服务(不再处于积极开发或支持状态的服务),可能需要额外的组件来实现零信任。这可能会增加管理开销并导致可用性问题,因此请确保有足够的资源来解决此问题。
不要重新发明轮子
由于成本、复杂性和出错的可能性,应避免创建自己的支持基础设施。在这种情况下,与其他地方一样,使用由训练有素的专业人员设计和构建的产品和服务的一般网络安全原则仍然适用。
![英国国家网络安全中心:零信任架构设计原则(三)]( "英国国家网络安全中心:零信任架构设计原则(三)")
寻找标准
尽可能使用基于标准的技术。这允许设备和服务之间的互操作性。一个很好的例子是身份验证和授权,其中OpenID Connect、OAuth 2.0或SAML等通用标准允许服务和身份提供者之间的互操作性。
云端托管服务
有许多云托管服务专为零信任而设计。重要的是用户要有信心可以信任运行这些服务的供应商。云安全原则可以帮助获得这种信任。
参考来源:英国国家网络安全中心官网
本文始发于微信公众号(祺印说信安):英国国家网络安全中心:零信任架构设计原则(三)
评论