公司及机构, 零信任是确保it硬件和连接设备安全、员工安全的最佳选择.
零信任并不是一个新概念. 与此同时, 疫情和向更加数字化的社会转型凸显了以前未被关注的问题, 使零信任安全成为一个重要的话题.
今天,联网的物联网(物联网)设备比以往任何时候都多. 这些设备旨在提供单一的服务和, 不幸的是, 安全不是设备的优先级. 缺乏内置安全性使得物联网设备容易受到攻击, 除了为组织的整个网络创造一条潜在的路线.
随着企业开始数字化转型之旅, 您的网络基础设施必须是安全的. 网络细分, 零信任的安全原则, 支持攻击预防. 一旦有承诺被报告, 进攻的潜力可以降低,网络中的横向移动可以受到限制, 不影响其他连接的系统.
零信任-总结
在商业计算和企业环境中, 网络分割有两种方法, 取决于现有的信任程度. 传统上, 置信极限是物理的和隐含的, 所以计算机网络被防火墙保护着. 简单地说,这意味着:里面的东西不受外面的保护。. 与此同时,这种方法必须随着威胁风险的增加而演变.
在一个零信任的世界里,信任是动态的和可适应的,即使是在网络中. 指导原则是“永远不要信任,永远检查”, 这意味着要像系统中已经存在入侵者一样行事. 牢记这一原则, 第一步是网络访问控制(NAC), 对象的识别和连接用户的认证. 基于这些因素, 使用防火墙配置宏观分割来过滤不同对象类和用户之间的流量. 例如,您可以隔离监控摄像头和建筑管理传感器. 那, 基于识别, 段内的第二级过滤允许细化和实现微分割. 在第二阶段, 其目的是防止监控摄像头在同一网络段内相互通信.
为什么零信任政策现在如此重要
过去18个月, 网络攻击增加了,给企业带来了巨大的成本. 此外,黑客正在进行越来越复杂和恶意的攻击. 因为零信任要求在允许访问网络之前对每个设备和用户进行身份验证, 它可以控制甚至避免攻击. 这是由于网络分割限制了访问范围,减少了攻击的传播.
宏观和微观细分的巧妙结合, 零信任方法在每个用户和对象周围提供了一个严格的、可移动的安全边界. 组织管理网络访问控制, 定义授权(例如, 通过工作角色访问),并能够保护和遏制威胁, 因为网络不断寻找不适当或可疑的行为.
新的网络功能允许零信任, 这将按比例提高对扩展和复杂网络攻击的防御水平.
迈向零信任网络的五个步骤
虽然从一开始就很容易建立一个基于零信任的安全网络(例如, 新设备, 新结构), 然而, 大多数公司已经有了现有的网络. 这些组织面临的挑战是协调方法以满足组织的需求, 保护它免受攻击. 以下是实现零信任概念的五个步骤:
1. 监控: 识别所有设备, 外围设备, 连接的设备和认证所有访问网络的人. 自动创建和填充对象的库存.
2. 验证: 控制所有连接的设备,并使那些不适合活动的设备失效, 因为它们增加了攻击的可能性. 适用最低特权原则, 授予执行任务所需的最低权限. 如果网络识别出不合格的设备, 是否有必要实施恢复或修复计划.
3. 计划: 了解所有用户设备, 以及它的工作流程和产生的流量, 将这些数据转换为安全策略,智能地结合了宏观分割(输入/输出控制)和微观分割(精炼的安全规则).
4. 模拟: 在fail-open模式下并行应用身份验证、身份验证和安全策略. 所有设备将被授权,网络行为将被记录和索引, 为了配置授权方案和适应的网络安全策略. 这个关键步骤将完善安全策略, 确保正常活动不受影响.
5. 应用: 在最后一步,“fail-open”变成“fail-closed”. 不再容忍身份验证失败, 所有未引用的用户或设备将被拒绝, 所有非法流动都被阻止了. 网络监控立即检查所有设备是否被识别, 在进行安全检查时,对用户进行身份验证,以便在网络上获得授权或可能被隔离.
简而言之
零信任方法允许您识别流量, 自动存储对象在库存, 为网络创建预定规则,并根据规则共享用户和物联网配置文件. 还可以确定交换机的中心id或DoS攻击, (可选), 在有限的动态范围内对可疑流量进行隔离.
零信任在整个网络基础设施中提供一致的身份验证策略和安全策略, 根据用户需求和连接技术实现. 宏观分割和微观分割的巧妙结合, 在违反安全规定的情况下进行隔离, 确保您的网络基础设施的最高安全级别. 在一个日益动荡的世界里, 不确定的, 复杂而模糊, 零信任方法是您确保网络和业务资产安全的最佳选择.
Laurent Bouchoucha
网络部业务发展副总裁自豪地领导着一个专家团队:营销解决方案, 商业项目管理, 解决方案架构, 售前及业务发展. 推动和支持实施我们在校园和数据中心网络方面的积极增长战略.
关于作者
