零信任构建模块简化其实施

什么是零信任模型？

零信任安全模型旨在以“永不信任，始终验证”的理念助力网络抵御访问攻击。通过将默认模式设为不信任所有设备或用户，来构建零信任安全策略，这意味着网络中应该永远不信任任何实体，即使它之前已通过验证。

零信任模型对现代的企业环境和复杂的企业网络而言极具价值。这些环境通常由众多互连设备、移动连接和远程连接、基于云的基础设施和业务、以及物联网(IoT)设备组成。

零信任安全模型能进行各种控制，可用于提高现代企业环境安全，包括身份互验证技术：

验证设备的完整性和身份，无论设备处于哪个位置。

除了验证用户身份和进行授权，零信任安全模型还能根据设备的运行状况和身份的信任级别，提供对业务和应用程序的相应访问。

零信任模型的优势：

减小攻击面-零信任模型一旦建成，零信任模型比隐式信任模型提供了更好的安全性，尤其在阻止内部网络中的横向威胁方面。

严格管理用户识别和访问-零信任模型中，必须严格管理网络内的用户，以保障他们的账户安全。运用多因素身份验证或生物识别技术，确保所有账户都得到妥善保护。将用户分为不同角色，授予他们在工作任务需要时访问数据和帐户的权限。

数据智能分段-在零信任模型中，应该根据敏感性、类型和用途对数据进行分段。这种方法提供了一种比所有用户都可以访问的中央数据池更安全的设置。使用零信任方法，敏感或关键数据是安全的，并且可以减少潜在的攻击面。

增强的数据保护-零信任保护存储和传输中的数据，这意味着传输中对信息进行自动备份和打散，或者加密。

安全编排-该操作在于包括确保所有的安全组件协同工作。在一个成功的零信任模型中，没有未被发现的任何漏洞，安全模式中的组合单元协同工作，不会出现不协调的情况。

零信任面临的挑战：

其构建更耗时费力-打造零信任模型时，需要在现有网络中重新部署策略。此过程可能具有挑战性，因为网络向零信任网络过渡的同时还要保持正常运行。有时还不如新建一个网络那样简单。如果旧系统与零信任框架不兼容，还得从头开始构建网络。

用户管理更复杂-需要以零信任的方式更密切地监控用户，只在有需要的时候才授予他们访问数据的权限。用户还包括员工、客户、顾客和第三方供应商，这就意味着有各种各样的接入点。使用零信任架构，必须针对每个用户组制定不同的策略。

需要管理的设备更多-不仅需要监控用户，还必须监控他们的设备。每个设备可能具有特定的属性和通信协议，必须根据其类型对其进行保护和监控。

复杂的应用程序管理-现代企业使用数百个应用程序。可以是基于云的，用户可以跨多平台和设备访问它们，有时还与第三方共享它们。为了与零信任方法保持一致，必须根据安全要求和用户需求定制、规划和监控每个应用程序。

更严格的数据安全性-数据通常存储在多个位置，这意味着通常需要保护多个站点。故需要依据最高安全标准，来制定和执行数据安全策略。

所幸的是，新技术正在不断发展，有助于克服许多挑战。早期，必须从头开始构建零信任方案。如今，零信任已远不是一款产品，已经有成熟的专用解决方案，可以帮助设置零信任堆栈的重要部分。主要技术包括：

微分段

微分段是零信任的基础技术。它能够将网络拆分为有逻辑的安全单元，使网络具有网段动态隔离能力，以确保受护资源的安全。该技术允许定义和执行策略，以控制网络的每个分段区域内的数据和应用程序的访问和使用。

微分段旨在限制从一个分段到另一分段的流量。这种方式可限制攻击行为在整个网络的横向移动，从而最大程度减小受攻击面。可以将网络微分段应用于数据中心以及云环境中。零信任环境中，所有组件联合提供、要么自身提供微分段功能，以在每个宝贵资产周围打造一个安全的微边界。

安全访问业务边缘(SASE)

SASE是一种云架构模型，提供广域网(WAN)作为托管业务，内置安全功能。它将广域网(WAN)功能与安全即业务功能统一到一个集中式业务中。可以使用SASE将所有安全和网络工具集中到一个管理平台中。

SASE的主要优势包括：

集中网络和安全工具

提供独立于用户和资源位置的访问

提供具有成本效益的、可扩展的且可有效平衡安全与网络责任的远程访问解决方案

扩展检测和响应(XDR)

XDR将安全数据和工具集成到一个统一的安全操作系统中，支持从一个界面进行安全分析、自动和手动响应，提供基于SaaS的安全事件响应和威胁检测功能。有以供应商为中心的XDR工具，可在一个许可证下提供多个集成组件，而开放式XDR工具，则专注于数据存储和分析，可与现有安全工具集成。

XDR的主要优势如下：

集中的事件检测和响应能力

提供整个环境中威胁的整体和简化视图

提供以提高事件补救的速度和效率的实时威胁洞察

利用人工智能(AI)检测跨越安全孤岛和边界的规避性威胁

MITRE ATT&CK框架

MITRE是一个非营利组织，提供有关网络威胁的信息，帮助检测已验证实体的恶意活动，助力解决网络防御问题。作为努力的一部分，MITRE提供对抗性战术、技术和常识(ATT&CK)框架作为知识库，供全球免费访问。

MITRE ATT&CK框架提供了有关对抗战术和技术的最新信息。它基于对现实世界中的观察和不断发展的战术、技术和矩阵知识库。可利用该框架来加强网络安全战略。

ATT&CK本身并不是零信任技术。然而，在零信任环境中，威胁情报是对用户连接进行智能验证和监控的关键。这种全面的策略、技术和程序(TTP)集合，可帮助识别系统中存在的威胁，并通过加强网络分段和撤销访问来自动响应。

新一代防火墙(NGFW)

NGFW在应用层分析和阻止恶意流量，并实施微分段规则，是第三代防火墙技术，可以将其作为软件或硬件来实施。此防火墙在多个级别(包括端口、协议和应用程序)实施安全策略，以检测和阻止复杂的攻击。

NGFW包括以下主要功能：

桥接和路由模式

应用控制

身份感知，包括组和用户控制

支持集成入侵防御系统(IPS)

可集成外部情报源

NGFW技术的独特之处在于，它可以掌握通过防火墙的不同类型的Web应用程序流量。使用此信息来阻止可能利用安全漏洞的流量。因其具有应用感知、先进的检测能力以及能与网络分段紧密结合，故在零信任设置中非常关键。

身份识别与访问管理(IAM)

IAM支持对混合环境中的用户访问和权限进行细粒度控制，提供有助于管理数字和电子身份的技术、流程和策略。在零信任设置中，使用IAM来控制用户对所有内容的访问-无论是在公司网络内、云环境中还是其他地方。

以下是IAM的主要功能，可为零信任提供安全的分布式访问：

单点登录(SSO)和联合身份

特权访问管理(PAM)

多重身份验证(MFA)

IAM技术还能够安全地存储配置文件和身份数据。此外，许多工具提供数据管理功能，来帮助控制哪些数据用户可以访问和共享，从而为零信任模型增加了另外一层保护。

结论

实现零信任远非易事。但无论如何，先前那种基于手动网络分段和临时授权方案的自主手动阶段已经过去了。SASE、NGFW和IAM这类技术都已成为新的构件，使零信任安全模型更易于管理且更有效。

(参考原文：Zero trust building blocks ease implementation ）

本文为《电子工程专辑》2022年5月刊杂志文章，版权所有，禁止转载。点击申请免费杂志订