零信任是一種滿足現代工作環(huán)境復雜安全需求的安全策略。這種安全設置非常適合保護依賴云計算、遠程員工和分布式系統(tǒng)的公司。本文介紹了您需要了解的有關零信任安全模型的所有信息。我們解釋了零信任的工作原理、它帶來的好處以及為什么這種安全策略是保護現代企業(yè)的最有效方式。

什么是零信任模型？

零信任是一種安全策略，公司不會自動信任網絡邊界內外的任何內容。相反，系統(tǒng)會在授予訪問權限之前驗證每個用戶和設備。

零信任方法使企業(yè)能夠：

徹底檢查每個訪問請求。 保護數據、應用程序和網絡免受外部和內部危險。 在分布式系統(tǒng)中安全運行并茁壯成長。 建立掃描和響應威脅的自動循環(huán)。 輕松遵守 FISMA、HIPAA、PCI、GDPR、CCPA 以及類似的數據隱私和安全法律。

零信任的目標是保護公司免受高級網絡安全威脅和數據泄露。對每個設備、用戶和應用程序的信任持續(xù)驗證使公司能夠停止：

?針對客戶和員工的網絡釣魚攻擊。 通過網絡橫向移動。 黑客使用被盜的用戶密碼和應用程??序數據庫憑據。 通過受感染的應用程序主機進行數據庫滲出。 惡意提升應用程序主機權限。 對工作站的非特權訪問。

零信任可能包括連續(xù)身份驗證概念，但不是 CA 的一種形式。零信任的其他術語是零信任網絡和零信任架構。

零信任模型的工作原理

零信任在允許連接到網絡上的任何資產之前檢查每個訪問請求。安全控制根據以下屬性驗證訪問權限：

用戶身份。 端點硬件類型。 固件版本。 操作系統(tǒng)版本。 補丁級別。 弱點和漏洞。 已安裝的應用程序。 用戶登錄。

一旦安全控制允許用戶或設備進入網絡，訪問就不是無限期的。系統(tǒng)會定期驗證用戶身份，以確保系統(tǒng)得到持續(xù)保護。

零信任安全策略直接與工作負載相關聯。安全性盡可能靠近資產。結果是一個保護系統(tǒng)隨工作負載移動并在所有環(huán)境中保持一致。

零信任不僅僅關注預防。如果攻擊者突破邊界、利用漏洞或賄賂內部人員，黑客對有價值數據的訪問權限將受到限制。在攻擊者有足夠的時間造成破壞之前，系統(tǒng)會檢測并響應異常行為。

零信任結合了一系列保護系統(tǒng)的原則和技術，包括：

多因素身份驗證。 身份和訪問管理?(IAM)。 系統(tǒng)編排。 分析。 加密。 文件系統(tǒng)權限。 下一代端點安全技術。

自動化是零信任模型的一個重要方面。人類無法跟上在企業(yè)層面實施零信任所需的監(jiān)控事件量。自動化使安全系統(tǒng)保持運行并執(zhí)行 24/7 策略。

自動化盡可能多的補救、監(jiān)控和威脅檢測系統(tǒng)。這樣的策略可確保最佳保護并使團隊騰出時間來處理更多關鍵業(yè)務任務。

傳統(tǒng)安全架構與零信任架構

傳統(tǒng)的網絡安全依賴于城堡和護城河的概念。城堡和護城河安全側重于防止來自網絡外部的訪問，同時信任邊界內的每個用戶和設備。

這種安全設置有幾個缺陷，使其對當今的工作負載無效：

公司不再將數據保存在單個包含區(qū)域，而是保存在通常包括云供應商的大型分布式系統(tǒng)中。 由于移動勞動力、 BYOD（自帶設備）?政策、物聯網和云采用，信任已經在網絡中的用戶和設備不再安全?。 一旦攻擊者獲得對網絡的訪問權，就沒有任何東西可以阻止通過系統(tǒng)的橫向移動。 員工和客戶從一系列設備和位置訪問應用程序。

城堡和護城河的概念不再能夠保護企業(yè)級網絡。然而，零信任安全提供了適合現代企業(yè)系統(tǒng)的功能：

默認情況下，網絡不信任任何用戶或設備。 對于試圖從網絡內部和外部訪問資源的每個人來說，驗證都是必要的。 分布式系統(tǒng)中的每個部分都有單獨的安全控制，以防止橫向移動。 零信任安全保護什么？

零信任是保護現代業(yè)務環(huán)境的理想選擇，它結合了公共云和私有云、SaaS 應用程序和DevOps 管道。零信任安全模型保護：

數據：?零信任對數據的存儲位置、誰可以訪問它以及什么是敏感或陳舊的數據設置了明確的規(guī)則。 網絡：?零信任網絡依靠分段、隔離和嚴格的限制來阻止攻擊者。 人：?人通常是任何安全策略中最薄弱的環(huán)節(jié)。零信任安全限制、監(jiān)控和強制用戶訪問網絡內外資源的方式。因此，網絡釣魚、錯誤密碼或惡意內部人員等威脅?的危險性較小。 工作負載：?零信任模型保護整個應用程序堆棧和后端軟件。嚴格的控制保護從數據存儲到操作系統(tǒng)和 Web 前端的一切。 設備：?網絡中的每個連接設備都是攻擊者的潛在切入點。零信任安全模型通過單獨的控制隔離和保護基礎設施中的每臺設備。 零信任安全的好處 1. 數據泄露預防

數據是網絡攻擊最常見的目標，因為黑客通常會追求：

個人身份數據 (PII)。 受保護的健康信息 (PHI)。 支付卡信息 (PCI)。 知識產權 (IP)。

零信任是保護企業(yè)級網絡中數據的最有效方法。訪問信息需要徹底驗證，因此每條有價值的數據都有強大的保護層。

2. 降低商業(yè)風險

零信任模型在檢測可疑行為方面表現出色。所有用戶、應用程序和服務都是惡意的，在系統(tǒng)驗證其身份之前無法進行通信。零信任通過發(fā)現整個網絡的活動并不斷分析資產的通信方式來降低風險。

3. 云和容器保護

零信任模型提供了保持云和容器環(huán)境安全所需的可見性和控制。如果工作負載驗證失敗，零信任會阻止它在系統(tǒng)上的任何位置進行通信。

4. 更高的業(yè)務速度和敏捷性

傳統(tǒng)的安全控制通常會減慢業(yè)務運營。阻塞的端口和關閉的主機會阻止員工訪問數據，導致整個系統(tǒng)出錯并減慢進程。

零信任模型不依賴于降低系統(tǒng)速度的靜態(tài)網絡結構。保護跟隨工作負載，而不是從安全檢查點操作。阻塞和關閉是孤立發(fā)生的，不會影響系統(tǒng)的其他部分。

零信任還提供了對基礎架構中所有用戶、設備、數據、服務器、應用程序和容器的清晰概覽。

5. 移動網絡資產時具有更好的靈活性

團隊經常跨基礎架構移動應用程序、數據和 IT 服務。在零信任模型之前，在環(huán)境之間移動資產需要團隊在新位置手動重新創(chuàng)建安全策略。

零信任消除了這個耗時且容易出錯的過程。該團隊集中管理應用程序和數據安全策略，而自動化工具則按需遷移策略。

零信任安全模型的原則 1. 不信任任何人

零信任背后的核心概念是網絡內外都有攻擊者。系統(tǒng)不應該自動信任用戶或設備，因此每次訪問嘗試都是威脅，直到驗證確認不是這樣。

用戶重新認證是零信任的重要規(guī)則。每次用戶訪問系統(tǒng)時，安全控制都應該重新驗證訪問資源的權限。

2. 使用最小權限訪問模型

將用戶限制為他們履行職責所需的訪問權限。有限訪問可大限度地減少每個用戶對網絡敏感部分的暴露，并降低攻擊面。單個受損帳戶無法使攻擊者訪問大量數據。

3. 分割網絡

網絡分段?是將網絡分成具有單獨安全控制的小區(qū)域的做法。有權訪問一個區(qū)域的用戶或程序在沒有單獨授權的情況下無權訪問另一個區(qū)域。

分段允許使用嚴格的訪問控制策略來保護單個工作負載。如果發(fā)生漏洞，網絡分段會限制橫向移動并提高系統(tǒng)彈性。

4.多因素認證（MFA）

MFA 要求用戶提供多個證據來驗證其身份。MFA 的一個典型應用是 2 因素授權 (2FA)。使用 2FA，用戶必須輸入密碼并輸入發(fā)送到另一臺設備的代碼。

MFA 對于任何零信任安全方案都是必須的，因為它可以限制?暴力攻擊。

5. 設備訪問控制

零信任需要對設備訪問進行嚴格控制。系統(tǒng)必須：

監(jiān)控嘗試訪問網絡的不同設備的數量。 驗證每次訪問嘗試。

嚴格的設備訪問控制進一步減少了網絡的攻擊面。

6.監(jiān)控和記錄一切

持續(xù)檢查用戶、設備和活動對于零信任至關重要。公司應該使用自動化工具來監(jiān)控每個網絡呼叫、文件訪問和電子郵件是否存在惡意活動。

監(jiān)控和記錄有助于快速識別：

數據泄露的跡象。 危險的用戶帳戶。 惡意行為的模式。 系統(tǒng)薄弱環(huán)節(jié)。 勒索軟件攻擊。

實時監(jiān)控還限制?了突破時間，這是攻擊者訪問第一臺機器和他們開始橫向移動到其他系統(tǒng)之間的關鍵窗口。

7. 為違規(guī)做好準備

即使在零信任環(huán)境中，數據泄露也是不可避免的。通過以下方式準備攻擊：

最小化爆炸半徑。 限制網絡中的橫向移動。 準備?數據備份策略。 制定應對策略。

當前名稱：什么是零信任模型？零信任安全的好處是什么？
網站路徑：http://jinyejixie.com/news32/315282.html

成都網站建設公司_創(chuàng)新互聯，為您提供響應式網站、、手機網站建設、商城網站、網站維護、域名注冊

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯