零信任架构:更安全网络的最佳实践
零信任架构使组织能够确定访问和限制的优先级。目标是对所有流量实施零信任策略,以确保没有用户,设备或系统能够使网络面临风险。
零信任架构通常执行三项主要原则-不需要可信赖的用户,多因素身份验证(MFA)是必须的,而微分段对于执行限制至关重要。
为了实现零信任安全,组织需要采用 信息安全 扩展端点可见性并实现对访问和特权的控制的实践和工具。
什么是零信任架构?
零信任体系结构是基于没有安全边界而构建的。相反,每个事件和连接都被认为是不受信任的并且可能是恶意的。
零信任体系结构的目标是,尽管面临越来越复杂的威胁和复杂的边界,仍可以保护网络。这就是为什么零信任体系结构也称为零信任网络,或通常称为零信任安全性的原因。
什么是零信任?
零信任模型实现了优先考虑访问和限制的数据安全性。这在当今的商业环境中尤其重要,因为组织越来越需要保护远程员工。
在零信任体系结构中,用户,设备和服务获得的特权最少,直到被证明可信任为止。有时,在实施零信任网络访问时,即使在身份验证和授权之后,特权限制也会扩展。
特别是,零威胁体系结构旨在减少与云资源,短暂端点,动态攻击和物联网(IoT)设备相关的漏洞。具有高度敏感的数据和系统的组织经常采用这些体系结构。
零信任架构的3个关键要素
在评估零信任架构时,应考虑三个要素。这些元素对于成功部署和构建零信任架构至关重要。
1.没有错误的安全感
在传统架构中,在网络范围内发生的任何事情都被认为是可信的。假设网络中的任何用户或活动都已通过身份验证并被授权存在。该模型假定外围安全性是完美无缺的,内部人员绝不会恶意。
对于熟悉安全性的任何人来说,此模型中的缺陷都应该很明显。在许多情况下,您不信任外围用户和事件。例如,攻击者以受到破坏的凭据或内部威胁进入,这可能会滥用特权或在网络中横向移动。零信任体系结构使这种理解变得明确,并优先防御内部威胁。
2.多因素认证
多因素身份验证(MFA)是将凭据与其他身份验证器结合使用。例如,要求用户扫描指纹或确认发送到移动设备的PIN。MFA极大地降低了攻击者能够使用受到破坏的凭据访问您的系统和数据的机会。
零信任架构将MFA实施为对其自身安全措施的双重检查。它使用MFA来确保用户是他们声称的身份,并确保正确允许访问和交易。外交部在PCI安全性,可帮助组织根据PCI标准保护信用卡数据。
3.微分段微
分段是使用访问控制来隔离系统中的各种组件和服务。它允许您分层安全措施,例如防火墙或授权措施,以提高安全性。它还使您可以限制对资产的访问,从而减少了攻击者利用横向漏洞的机会。
零信任架构利用微分段来确保甚至网络内的用户或应用程序也受到适当限制。它可以确保即使攻击者确实进入了网络,也可以严格限制他们可能造成的破坏。
微细分和云原生开发通常是并行的。但是,微分段本身并不能满足您所有的云安全需求。区分微分段作为一种安全措施和云安全 作为一个整体。
零信任:成功实施的原则
建立零信任架构时,可以采用几种最佳实践。以下是四种实践,可帮助您确定工作的优先级,安全地验证设备,确保系统的可见性以及消除虚假信任。
1.了解包括用户,设备和服务的体系结构
为了保护网络和资产的安全,请创建用户,设备和服务的完整清单。这包括分别需要访问哪些数据和资产,访问可能造成的负债以及如何管理访问。
尤其要注意连接到网络的那些资产和组件。例如,将重点放在具有内部或外部端点的服务器上而不是磁带备份上。
注意预先存在的配置和权限也很重要。如果您正在从传统的网络模型过渡到零信任,则可能需要更新服务和资产以确保持续的功能。
2.创建一个强大的设备身份
为了确保网络上仅允许使用受信任的设备,请先为每个设备建立一个唯一的可追溯身份。这些身份使您可以验证资产是否得到有效管理以及暴露不受信任的设备。另外,您为设备创建的身份对于根据定义的策略对权限和访问进行身份验证是必需的。
有几种识别设备的方法,具体取决于设备的硬件,平台和类型。最可靠的方法是将身份信息存储在安全的硬件协处理器上。这很难伪造,是高度信任的方法。
如果无法进行硬件存储,则可以使用基于软件的密钥存储。此方法为管理良好的设备提供了合理的置信度。但是,对于管理不善或不受管理的设备,它只能降低信心。
3.将监视重点放在设备和服务上
全面,连续的监视有助于确保即使安全措施失败,也能够检测并阻止攻击。特别要注意监视设备和服务的交互方式。例如,正在请求什么,执行了哪些过程以及访问了哪些数据。
监视时,请记住,每个设备都需要单独评估。这并不意味着您不应该跨设备关联数据。但是,这确实意味着您不能依靠流量阻塞点来捕获可疑事件。而是根据网络上发生的事件评估设备数据,以确保流量与您定义的安全策略匹配。
4.不信任网络,包括本地网络
请记住,零信任意味着零。这包括您的本地网络。您不应该依赖网络本身来保护通信。
相反,应在网络内运行的设备和服务中建立信任。例如,通过实施加密协议(例如TLS)。如果您依靠本地网络来确保安全,则可能会打开连接来攻击DNS欺骗,中间人(MitM)攻击或未经请求的入站连接等攻击。
Exabeam的零信任架构
要了解整个网络中的各个设备,可以利用用户和实体行为分析(UEBA)工具。为了发挥作用,UEBA工具必须将单个行为绑定回单个用户。这些工具不仅可以将设备数据放入已定义的安全策略的上下文中,还可以为正常活动建立行为基线。
零信任架构和UEBA共同努力强调,即使权限和凭据看起来合法,异常行为也可能表明存在威胁。
Exabeam是一个易于实施和使用的智能SIEM平台。Exabeam带有内置的零信任功能。特别是,Exabeam的用户和事件行为分析(UEBA)功能可以帮助实现以下目标:
- 不依赖规则或签名的事件检测-Exabeam无需预先定义的关联规则或威胁模式即可识别异常和危险的活动,并以较低的误报率提供有意义的警报。
- 安全事件时间表-Exabeam将会话缝合在一起,以创建涵盖用户,IP地址和IT系统的安全事件的完整时间表。
- 对等分组-Exabeam动态分组相似的实体(例如具有相同组织角色的用户),以分析整个组中的正常行为并检测异常行为。
- 横向移动-渗透到系统中的攻击者通过网络移动,从而使用不同的IP地址和凭据访问越来越多的系统。Exabeam结合了来自多个来源的数据,以揭示攻击者通过网络的旅程。