零信任优劣势分析 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

零信任优劣势分析

ang010ela 资讯 2020-02-01 13:22:39
收藏

导语:本文对零信任安全模型的优劣势进行了分析。

零信任(Zero Trust)是2010年著名研究机构Forrester的首席分析师约翰.金德维格(John Kindervag)提出的一个概念。2017年Google基于零信任构建的BeyondCorp项目成功完成,为零信任安全提供了可靠的实践背书。

零信任的定义

零信任是一个信息安全框架,其中要求企业不信任企业边界内外的所有实体。其中提供了确保属于或组织、雇员和合作商使用的属于设备、用户、app和网络安全、管理和监控相关的可见性和IT控制。

零信任配置的目标相当明确,就是严格对敏感数据、应用和设备的访问。零信任安全架构从本质可概括为以身份为中心的动态访问控制,是在不可信的现代网络环境下,以身份为中心,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的逻辑身份边界。

零信任的优势

在企业的基础设施的基础中植入零信任可以增强IT系统的安全性,零信任可以帮助企业增强安全态势和减少攻击面。下面是研究人员认为企业应该增加的零信任的4个支柱:

  • 增强用户识别和访问策略

  • 数据和资源分段

  • 增强数据存储和传输的安全性

  • 安全编排

用户识别和访问策略

在多因子认证收纳柜使用多个因子的安全组合可以为团队提供谁在发起请求的充分证据,好的策略结构应当根据用户的身份来确认那些资源可以访问。许多企业无关对数据和应用的访问倾向于选择使用单点登录服务的IDDS云平台。在零信任模型中, 访问是通过验证谁在访问访问、请求的环境、授予访问权限前访问环境的风险。在一些例子中,这意味着限制了资源的功能。在其他例子中,可能会加入一层认证或会话超时(session timeout)。

分段

鲁棒的访问策略在没有合适的数据和资源分段时没有意义。通过对企业网络进行分段,零信任可以防止非授权的用户保护关键的知识产权、通过保护有价值的系统来减少攻击面、预防威胁通过网络进行传播。分段还可以帮助限制内部威胁带来的后果,包括可能对员工带来的物理危险。

数据安全

虽然通过分段可以限制对数据的访问和减少攻击面,但如果不确保数据存储和传输的安全,企业仍然面临数据泄露、数据拦截的风险。端到端加密、哈希数据、自动备份等都是企业应用零信任数据安全方案的方法。

安全编排

即使没有安全管理系统,使用零信任的企业仍需要确保安全解决方案与其他方案协作,覆盖所有可能的攻击面。重叠本身并不是一个问题,但找到正确的设置来最大化效率和最小化冲突是很难的。

零信任的挑战

零信任是确保用户、终端设备、API、IOT、微服务、容器等安全访问网络、应用和环境的综合方法。零信任旨在保护工作场所、工作人员,但零信任也遇到了许多的挑战,包括:

·不同种类的用户

·不同种类的设备

·不同种类的应用

·不同方式的数据访问和存储

用户

根据福布斯的数据,有至少50%的美国人使用过各种形式的远程工作。也就是说除了使用VPN外,还通过家用IP、路由器、公共WiFi等访问数据。但用户并不局限于工作场所。客户有时候也会访问企业的资源,比如客户想要选择最佳的订单、检查库存、参与试验等。供应商和第三方服务公司可能需要访问企业的基础设施来对操作、安全和进展进行检查。这些都说明用户包括用户基础的变化和大量的访问点。此外,新员工和客户的加入也会增加工作量。

设备

考虑到BYOD策略和IOT设备,远程雇员、企业必须考虑到用于工作的设备的多样性,以及操作系统的多样性。每种设备都有自己的特点、需求和通信协议,这些都是零信任需要考虑和确保安全的地方。

应用

零信任的另一个影响因素就是企业内人员和团队协作和通信使用的应用数。大多数的app都是基于云的,可以用于多个平台。用途的多样性是决定哪些允许、哪些不允许的复杂因素。

这些app是否与第三方服务、机构和厂商共享呢?通信平台对外是否只针对员工呢?应用是否只存在特定的部分,比如金融、设计和程序?这些问题都必须在采用60个应用之前考虑和回答。

数据

企业不仅要保护终端或企业网络。越来越多的资源、数据和应用都保存在基于云的环境中,也就是说用户在全球的任一个地方都可以访问。如果使用边缘计算,那么就会变得更加复杂,这就要求IT团队从中心化、自顶向下的基础设施转向去中心化的可信模型。如果企业不需要在零信任中找到最弱的链接,那么云服务中的数据基础设施配置需要是没有漏洞的。

信任还是不信任

如果要迁移到基于云的资源,那么建议最好采用零信任。随着威胁场景的变化,包括VPN和Citrix中最近产生的漏洞,加上通过RDP传播的勒索软件,都鼓励企业采用零信任解决方案。因为数据窃取的点一般并不是攻击者的目标位置,因此设定内部边界都会限制成功攻击的严重性。研究人员认为零信任是个不错的选择。

本文翻译自:https://blog.malwarebytes.com/explained/2020/01/explained-the-strengths-and-weaknesses-of-the-zero-trust-model/ 如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论