傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)工作會(huì)將網(wǎng)絡(luò)劃分為內(nèi),、外網(wǎng)并通過(guò)物理位置來(lái)判斷威脅程度,通常更多關(guān)注外部網(wǎng)絡(luò)的危險(xiǎn)性,,在網(wǎng)絡(luò)邊界部署防火墻,、入侵防御等安全設(shè)備,,構(gòu)建邊界安全防御體系。隨著移動(dòng)互聯(lián)網(wǎng),、云計(jì)算,、大數(shù)據(jù)等創(chuàng)新技術(shù)廣泛應(yīng)用,基于物理邊界的網(wǎng)絡(luò)安全防控模式正在逐步瓦解,。
面對(duì)內(nèi)外網(wǎng)絡(luò)安全威脅變化和網(wǎng)絡(luò)邊界泛化模糊的新形勢(shì),,以零信任架構(gòu)為代表的創(chuàng)新安全防護(hù)理念應(yīng)運(yùn)而生。不過(guò)在實(shí)際建設(shè)中,,企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)往往有多種創(chuàng)新安全框架可以選擇,,這就需要根據(jù)企業(yè)整體安全態(tài)勢(shì)的實(shí)際需求,來(lái)選擇合適的安全模型和建設(shè)框架,。多種安全方法可以同時(shí)應(yīng)用于同一家企業(yè),,比如縱深防御和零信任。
什么是縱深防御,?
縱深防御一詞本身源自軍事領(lǐng)域,,意指戰(zhàn)爭(zhēng)過(guò)程中利用地理優(yōu)勢(shì)來(lái)設(shè)多道軍事防線防御。在網(wǎng)絡(luò)安全領(lǐng)域中,,縱深防御代表著一種更加系統(tǒng),、積極的防護(hù)戰(zhàn)略,它要求合理利用各種安全技術(shù)的能力和特點(diǎn),,構(gòu)建形成多方式,、多層次、功能互補(bǔ)的安全防護(hù)能力體系,,以滿足企業(yè)安全工作中對(duì)縱深性,、均衡性、抗易損性的多種要求,。
縱深防御策略需要結(jié)合使用多種安全工具和機(jī)制,,如果一個(gè)安全工具失效或被攻擊者繞過(guò),其他正確配置的工具可防止未授權(quán)訪問(wèn),。目前,,縱深防御被認(rèn)為是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一,,原因主要有兩個(gè):
多管齊下的分層安全方法有助于確保減少安全策略之間的漏洞;
縱深防御有助于防止人為錯(cuò)誤導(dǎo)致安全工具的配置錯(cuò)誤,。
如果沒(méi)有落實(shí)縱深防御策略,,漏洞和錯(cuò)誤配置將為攻擊者輕松入侵網(wǎng)絡(luò)打開(kāi)大門。
縱深防御的技術(shù)體系
什么是零信任安全,?
零信任安全在縱深防御基礎(chǔ)上,,融合了更多安全控制原則的創(chuàng)新安全防護(hù)模式。零信任的目標(biāo)是,,永遠(yuǎn)不要信任訪問(wèn)公司網(wǎng)絡(luò)內(nèi)的應(yīng)用程序和服務(wù),,以及與之交互的任何人或機(jī)器。零信任使用最小特權(quán)原則,,確保只有連接到網(wǎng)絡(luò)的合適設(shè)備和用戶以及公共和私有數(shù)據(jù)中心中的工作負(fù)載才可以傳送和接收數(shù)據(jù),。
零信任構(gòu)建關(guān)鍵步驟
構(gòu)建零信任安全需要網(wǎng)絡(luò)團(tuán)隊(duì)和安全團(tuán)隊(duì)的共同配合,并需要以下幾個(gè)關(guān)鍵步驟:
通過(guò)身份和訪問(wèn)管理技術(shù),,識(shí)別試圖連接到網(wǎng)絡(luò)的用戶和設(shè)備,;
部署具有微隔離機(jī)制的下一代防火墻系統(tǒng),為應(yīng)用程序,、文件和服務(wù)訪問(wèn)確立訪問(wèn)控制機(jī)制,;
使用自動(dòng)化的網(wǎng)絡(luò)檢測(cè)和響應(yīng)技術(shù),構(gòu)建不斷監(jiān)控網(wǎng)絡(luò)和設(shè)備行為的安全運(yùn)營(yíng)能力,;
評(píng)估遠(yuǎn)程訪問(wèn),,以確保適當(dāng)?shù)陌踩蜕矸蒡?yàn)證。
應(yīng)用價(jià)值分析
零信任的價(jià)值體現(xiàn)在“從不信任,,驗(yàn)證一切”,。如采用零信任,從初步登錄到登錄之后,,用戶必須不斷證明自己擁有適當(dāng)?shù)臋?quán)限,。這意味著,即使攻擊者滲入到系統(tǒng)中,,也不一定會(huì)造成任何破壞或外泄數(shù)據(jù),。盡管零信任聽(tīng)起來(lái)處處限制用戶,但它可以通過(guò)單點(diǎn)登錄等工具改善用戶體驗(yàn),,并減少密碼管理不當(dāng)方面的擔(dān)憂,。
相比零信任,縱深防御的最大價(jià)值是,,如果分層安全的某一層失效,,安全架構(gòu)中的其他層已落實(shí)到位,,可確保關(guān)鍵數(shù)據(jù)免受攻擊者的攻擊,。分層防御還可以減緩攻擊者的速度,,提高攻擊者被安全機(jī)制或安全團(tuán)隊(duì)發(fā)現(xiàn)的可能性。
很多人會(huì)將縱深防御簡(jiǎn)單理解為分層安全(Layered security),,因?yàn)樗鼈冇兄芏嘞嗨坪瓦B結(jié),。縱深防御基礎(chǔ)架構(gòu)需要具備分層抵御攻擊的安全能力,,但這并不是縱深防御的全部,。縱深防御不僅是技術(shù)層面的問(wèn)題,,同時(shí)還需要確定組織將如何響應(yīng)隨時(shí)可能出現(xiàn)的攻擊,,以及對(duì)事件的報(bào)告和溯源機(jī)制??v深防御不僅需要在技術(shù)層面具有多層化的安全工具,,還要有一套與之相配合的安全管理理念與策略。
應(yīng)用挑戰(zhàn)分析
縱深防御體系的實(shí)施往往是一項(xiàng)艱巨的任務(wù),,而不是簡(jiǎn)單的交鑰匙工程,,它代表一種整體化的安全理念,需要持續(xù)性的運(yùn)營(yíng)制度來(lái)保障支撐,。實(shí)施縱深防御的主要挑戰(zhàn)是,,攻擊形勢(shì)每天都在變化。昨天使用的技術(shù)可能不再流行,,今天使用的新攻擊技術(shù)也許能輕松繞過(guò)多個(gè)安全防御措施,。
實(shí)施縱深防御的另一個(gè)挑戰(zhàn)是如何有效整合各層安全能力,這在一定程度上會(huì)阻礙協(xié)作流暢性,,還可能降低威脅檢測(cè)速度,。縱深防御有多層,,也意味著安全團(tuán)隊(duì)的管理也會(huì)變得更復(fù)雜,。
基于“零信任”安全架構(gòu)雖然可更好地防御橫向攻擊,保護(hù)核心數(shù)據(jù)與系統(tǒng),,但全面實(shí)施“零信任”安全架構(gòu)難度大,、代價(jià)高,甚至可能影響業(yè)務(wù)高峰時(shí)系統(tǒng)訪問(wèn)性能,。像縱深防御一樣,,零信任安全體系的管理和運(yùn)營(yíng)同樣非常復(fù)雜,尤其在實(shí)施階段,。企業(yè)組織的規(guī)模越大,,確保系統(tǒng)應(yīng)用安全所需的身份驗(yàn)證和授權(quán)就越多。零信任安全的另一個(gè)常見(jiàn)挑戰(zhàn)是,,它需要更多的運(yùn)營(yíng)團(tuán)隊(duì)來(lái)支撐,,甚至需要使用第三方托管服務(wù)提供商,。
應(yīng)用發(fā)展分析
如果單單著眼于縱深防御和零信任戰(zhàn)略各自主要實(shí)現(xiàn)的目標(biāo),我們可能以為這是兩種獨(dú)立的網(wǎng)絡(luò)安全架構(gòu)模型,。事實(shí)上,,它們之間有著緊密的聯(lián)系,可以相互融合發(fā)展,。比如說(shuō),,雖然整體縱深防御策略還包括零信任架構(gòu)之外的一些其他安全防護(hù)系統(tǒng)和數(shù)據(jù)保護(hù)功能,但可以將零信任原則可以融入到縱深防御的整體策略中,。
縱深防御在許多方面與零信任安全理念相吻合,。零信任架構(gòu)認(rèn)為網(wǎng)絡(luò)上的任何用戶或設(shè)備都應(yīng)該不斷受到質(zhì)疑和監(jiān)控,以確保訪問(wèn)行為的真實(shí)可靠,。這種理念需要縱深防御基礎(chǔ)架構(gòu)的支撐和保障,,其中重要一點(diǎn)就是,組織現(xiàn)有的安全工具和策略能夠?qū)Ω鞣NIT設(shè)備和業(yè)務(wù)系統(tǒng)進(jìn)行有效的運(yùn)行管控,。
縱深防御的建設(shè)理念也可以融合到零信任安全部署環(huán)境中,。比如說(shuō),安全管理員可以根據(jù)業(yè)務(wù)需要,,嚴(yán)格鎖定用戶的賬戶,,確保他們僅僅有權(quán)運(yùn)行某些應(yīng)用程序和服務(wù)。此外,,管理員可以創(chuàng)建邏輯隔離的安全區(qū),,以限制用戶訪問(wèn)他們權(quán)限以外的網(wǎng)絡(luò)部分。如果用戶帳戶受到威脅,,不僅可以對(duì)該賬戶的訪問(wèn)權(quán)限進(jìn)行限制,,而且可以對(duì)其所在的安全區(qū)進(jìn)行針對(duì)性的保護(hù)措施。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
