簡析零信任:網絡安全新中心點
責編:gltian |2019-05-09 15:17:28每一年,數千家公司企業遭遇數據泄露,數十億條數據記錄被網絡攻擊者滲漏,導致企業破產倒閉,地緣政治情況惡化,大家開始失去對國家選舉程序完整性的信心。
事后分析表明,這些導致數據泄露的攻擊手法其實技術含量并不高,基本都是利用了弱口令、被盜憑證或被黑憑證。我們賦予憑證的身份與信任,被利用來危害我們自身。信任成為了我們網絡安全實踐中的阿基琉斯之踵。
為解決這些問題,零信任模型在去年獲得了業界的廣泛支持。美國國際數據集團(IDG)的《2018安全重點調查》表明,關注安全的IT決策者中,71%注意到了零信任模型,其中8%已經開始在自家企業中運用該模型,10%正在試用。
2010年,佛瑞斯特研究所與美國國家標準與技術局(NIST)合作,首次提出了零信任模型概念。基于研究發現,佛瑞斯特分析師 John Kindervag 指出,傳統安全措施中固有的信任假設使公司企業易于遭受外部和內部攻擊。零信任安全概念的核心是公司企業不應該信任其內部和外部實體,應驗證每一個連向其系統的訪問請求。
零信任模型的原始概念是以數據為中心的網絡,利用微分隔來實現更細粒度的規則,并最終限制攻擊者的橫向移動。自誕生以來,零信任模型的概念及其各種益處有了大幅發展。零信任被公司企業用于驅動戰略性安全規劃,使業務決策者和IT主管得以實現切實的預防、檢測與響應措施。
零信任擴展生態系統
佛瑞斯特研究所分析師 Chase Cunningham 博士貢獻了零信任模型的最大進化發展。他發布了《零信任擴展生態系統》報告,將原始模型擴出其網絡中心,納入了如今不斷擴張的攻擊界面和以下元素及相關過程:
1. 網絡:分隔、隔離與控制網絡。
2. 數據:保護并管理數據,分類并制定數據分類架構,加密存儲數據和傳輸中的數據。
3. 工作流:在整個應用棧上應用零信任控制,通過虛擬機管理程序和自包含的處理組件來覆蓋應用層。
4. 設備:隔離、保護和控制網絡上的每一個設備。
5. 人員 (即身份):限制并嚴格實施用戶訪問權限,保護這些用戶。
對上述元素實施安全控制便能夠提供通往零信任的路線圖。但最重要的是要明白,網絡攻擊者觸碰敏感數據的最佳途徑就是黑掉用戶身份。如果被盜身份屬于手握寬泛訪問權的特權用戶,情況就更加糟糕了。事實上,佛瑞斯特研究所的數據表明,80%的安全事件涉及特權憑證。
零信任之路始于身份
為限制公司企業的網絡風險暴露面,遏制當今數據泄露的頭號元兇——特權濫用,可以考慮以下幾個動作:
1. 識別及保護
識別所有特權賬戶及資源,并妥善保護及管理這些特權憑證。
2. 以最小權限原則整合身份
僅僅保護尚不足夠,還需要減小攻擊界面。方法包括整合身份和盡可能地清除本地賬戶,然后實現提權控制和實時特權訪問工作流。最容易達成這一點的辦法就是為所有特權用戶實現基本的多因子身份驗證(MFA)。
3. 高度強化環境
如微軟強增安全管理環境 (ESAE) 指南中建議的,通過物理隔離管理員賬戶來強化環境安全。另外,還要通過基于主機的監視和先進行為分析,以及為最敏感的環境添加三級保障度的MFA,來鎖定任何危險的規避方法。
從基于邊界的傳統企業安全策略轉向零信任方法,能夠提供更為健壯的預防、檢測和事件響應能力,可以保護不斷擴張的攻擊界面——云、大數據、DevOps、容器和微服務。遵循這一路線,公司企業便能夠抵御高級威脅,限制數據泄露的影響,支持新的業務和運營模式,并且能保證合規(比如FISMA、HIPAA、PCI等等)。
《零信任擴展生態系統》報告: