《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 如何克服實(shí)現(xiàn)零信任架構(gòu)面臨的挑戰(zhàn)?

如何克服實(shí)現(xiàn)零信任架構(gòu)面臨的挑戰(zhàn),?

2022-12-21
來源:安全419
關(guān)鍵詞: 零信任

  伴隨數(shù)字化轉(zhuǎn)型與互聯(lián)網(wǎng)的發(fā)展,數(shù)據(jù)的流存節(jié)點(diǎn)和區(qū)域變得繁雜,,網(wǎng)絡(luò)邊界加速模糊,,網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性持續(xù)加劇,數(shù)據(jù)安全風(fēng)險(xiǎn)不斷攀升,。迫切需要改變?cè)蟹烙砟詈图軜?gòu),,搭建更可靠、更高效,、更便捷的安全體系,,零信任安全架構(gòu)應(yīng)運(yùn)而生,。

  2010年,,“零信任模型”首次被提出,,零信任網(wǎng)絡(luò)模型打破了舊式邊界防護(hù)思維,通過多因素身份認(rèn)證,、身份與訪問管理,、加密、安全評(píng)級(jí)等技術(shù)手段,,微隔離,、細(xì)粒度訪問控制規(guī)則,以及終端安全狀態(tài)評(píng)估等其他數(shù)據(jù)條件,,實(shí)施其“無法證明可被信任即無法獲得權(quán)限”的安全理念,。

  它重新定義了組織的 IT 安全邊界,零信任架構(gòu)的首要原則是什么都不信任,,什么都驗(yàn)證,。組織的所有組成部分:用戶、設(shè)備,、應(yīng)用程序,、數(shù)據(jù)和軟件,無論是在本地還是在云端,,都必須得到驗(yàn)證,、跟蹤和保護(hù)。通過反復(fù)的驗(yàn)證,,組織可以極大的減輕惡意行為者用來竊取數(shù)據(jù),、泄露密碼或執(zhí)行可能在企業(yè)環(huán)境中帶來災(zāi)難性影響的其他任務(wù)的攻擊媒介。

  因此,,轉(zhuǎn)向零信任架構(gòu)越來越受到各類企業(yè)和政府組織機(jī)構(gòu)的歡迎,,美國政府官方還發(fā)布了采用零信任以改善國家網(wǎng)絡(luò)安全的行政命令。但事實(shí)上,,組織通往零信任的道路仍然存在一些不可避免的挑戰(zhàn),。

  實(shí)施零信任架構(gòu)在當(dāng)前安全環(huán)境中面臨多項(xiàng)挑戰(zhàn)

  在過去幾年中,疫情的蔓延讓混合辦公和遠(yuǎn)程辦公的模式深入人心,,但這種遠(yuǎn)程工作文化也成為了實(shí)施零信任安全模型的重大障礙,。遠(yuǎn)程訪問的員工越多,傳統(tǒng)基于邊界的安全防護(hù)方式就越發(fā)不安全,。此外,,隨著遠(yuǎn)程工作文化越來越普遍,越來越多的員工使用未知設(shè)備,、應(yīng)用程序,、公共 Wi-Fi,、路由器和 VPN 服務(wù),陌生來源的訪問量遠(yuǎn)超以往的任何時(shí)候,。并且,,使用許多在可以訪問敏感業(yè)務(wù)數(shù)據(jù)的設(shè)備上運(yùn)行的不受信任的應(yīng)用程序同樣是一個(gè)重大的安全風(fēng)險(xiǎn)。

  此外,,新興技術(shù)與傳統(tǒng)技術(shù)之間的拉鋸戰(zhàn)對(duì)組織采用零信任架構(gòu)的計(jì)劃也構(gòu)成了另一個(gè)重大障礙,。許多陳舊的設(shè)備和系統(tǒng)無法通過管理動(dòng)態(tài)規(guī)則來實(shí)現(xiàn)零信任安全模型,。此外,,一些傳統(tǒng)設(shè)備也不能很好地與在驗(yàn)證授權(quán)訪問時(shí)限制未授權(quán)訪問所需的現(xiàn)代方法或技術(shù)一起使用。

  一項(xiàng)基本的零信任原則是映射組織的關(guān)鍵數(shù)據(jù),、應(yīng)用程序,、設(shè)備以及用戶如何訪問敏感信息并與之交互。然而,,組織普遍面臨的挑戰(zhàn)是滿足零信任架構(gòu)的以數(shù)據(jù)為中心的需求,,并將其部署到傳統(tǒng)的數(shù)據(jù)孤島中。

  設(shè)計(jì)適合自身業(yè)務(wù)模型零信任安全架構(gòu)之路

  因此,,顯而易見實(shí)現(xiàn)零信任安全架構(gòu)不是一蹴而就的,,隨著越來越多的組織支持混合或遠(yuǎn)程工作文化,執(zhí)行零信任模型將需要做大量過渡性工作,。最好的零信任安全解決方案可以顯著幫助提高網(wǎng)絡(luò)彈性和安全遠(yuǎn)程訪問,。這些解決方案不僅限于威脅檢測(cè)和響應(yīng)。相反,,它還包括端點(diǎn)安全,、多因素身份驗(yàn)證 (MFA)、 云安全,、身份訪問管理等在內(nèi)的多種方法,。

  ● 訪問管理和分段是至關(guān)重要的元素。組織可以考慮將零信任模型應(yīng)用于應(yīng)用程序訪問,。高級(jí)零信任網(wǎng)絡(luò)訪問 (ZTNA) 提供對(duì)應(yīng)用程序的輕松訪問,,無論應(yīng)用程序位于何處或從何處訪問。由于每個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)都不同,,因此當(dāng)應(yīng)用程序位于不同位置(如 SaaS 或本地)時(shí),,應(yīng)用程序控制具有挑戰(zhàn)性。

  ● ZTNA 中集成基于防火墻的客戶端是克服混合工作文化障礙的另一種方法,。ZTNA 模型是從云端自托管,、自管理或完全托管的服務(wù),因此應(yīng)用程序或用戶在哪里都無關(guān)緊要,;它將提供安全的遠(yuǎn)程訪問,。因此,,有效的零信任安全解決方案必須成為任何綜合網(wǎng)絡(luò)安全戰(zhàn)略的一部分。為了克服陳舊系統(tǒng)問題,,組織可以簡(jiǎn)單地向它們部署 MFA,,由于 MFA 是網(wǎng)絡(luò)安全的主要組成部分,它將改善實(shí)施零信任所需的安全態(tài)勢(shì)和威脅響應(yīng),。

  ● 為防止遺留數(shù)據(jù)孤島問題,,組織可以考慮引入微分段設(shè)計(jì)。這取決于要分割什么,、需要什么訪問控制以及誰擁有特權(quán)訪問權(quán)和所需保護(hù)措施的概念,。通過分段,還可以輕松阻止攻擊在內(nèi)部傳播,,并確保將影響限制在有限的段內(nèi),。

  總之,作為一種以身份為中心的業(yè)務(wù)和架構(gòu)安全解決方案,,雖然零信任架構(gòu)能夠幫助組織免受大部分網(wǎng)絡(luò)攻擊,,但組織必須對(duì)其環(huán)境和現(xiàn)有能力進(jìn)行零信任評(píng)估,并制定實(shí)現(xiàn)該目標(biāo)的路線圖,,最終選擇適合組織當(dāng)前業(yè)務(wù)模型的零信任安全解決方案,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。