《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 如何克服實(shí)現(xiàn)零信任架構(gòu)面臨的挑戰(zhàn)?

如何克服實(shí)現(xiàn)零信任架構(gòu)面臨的挑戰(zhàn),?

2022-12-21
來(lái)源:安全419
關(guān)鍵詞: 零信任

  伴隨數(shù)字化轉(zhuǎn)型與互聯(lián)網(wǎng)的發(fā)展,,數(shù)據(jù)的流存節(jié)點(diǎn)和區(qū)域變得繁雜,網(wǎng)絡(luò)邊界加速模糊,,網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性持續(xù)加劇,,數(shù)據(jù)安全風(fēng)險(xiǎn)不斷攀升。迫切需要改變?cè)蟹烙砟詈图軜?gòu),,搭建更可靠,、更高效、更便捷的安全體系,,零信任安全架構(gòu)應(yīng)運(yùn)而生,。

  2010年,“零信任模型”首次被提出,,零信任網(wǎng)絡(luò)模型打破了舊式邊界防護(hù)思維,,通過(guò)多因素身份認(rèn)證、身份與訪問(wèn)管理,、加密,、安全評(píng)級(jí)等技術(shù)手段,微隔離,、細(xì)粒度訪問(wèn)控制規(guī)則,,以及終端安全狀態(tài)評(píng)估等其他數(shù)據(jù)條件,實(shí)施其“無(wú)法證明可被信任即無(wú)法獲得權(quán)限”的安全理念,。

  它重新定義了組織的 IT 安全邊界,,零信任架構(gòu)的首要原則是什么都不信任,什么都驗(yàn)證,。組織的所有組成部分:用戶,、設(shè)備、應(yīng)用程序,、數(shù)據(jù)和軟件,,無(wú)論是在本地還是在云端,,都必須得到驗(yàn)證,、跟蹤和保護(hù),。通過(guò)反復(fù)的驗(yàn)證,組織可以極大的減輕惡意行為者用來(lái)竊取數(shù)據(jù),、泄露密碼或執(zhí)行可能在企業(yè)環(huán)境中帶來(lái)災(zāi)難性影響的其他任務(wù)的攻擊媒介,。

  因此,轉(zhuǎn)向零信任架構(gòu)越來(lái)越受到各類(lèi)企業(yè)和政府組織機(jī)構(gòu)的歡迎,,美國(guó)政府官方還發(fā)布了采用零信任以改善國(guó)家網(wǎng)絡(luò)安全的行政命令,。但事實(shí)上,組織通往零信任的道路仍然存在一些不可避免的挑戰(zhàn),。

  實(shí)施零信任架構(gòu)在當(dāng)前安全環(huán)境中面臨多項(xiàng)挑戰(zhàn)

  在過(guò)去幾年中,,疫情的蔓延讓混合辦公和遠(yuǎn)程辦公的模式深入人心,但這種遠(yuǎn)程工作文化也成為了實(shí)施零信任安全模型的重大障礙,。遠(yuǎn)程訪問(wèn)的員工越多,,傳統(tǒng)基于邊界的安全防護(hù)方式就越發(fā)不安全。此外,,隨著遠(yuǎn)程工作文化越來(lái)越普遍,,越來(lái)越多的員工使用未知設(shè)備、應(yīng)用程序,、公共 Wi-Fi,、路由器和 VPN 服務(wù),,陌生來(lái)源的訪問(wèn)量遠(yuǎn)超以往的任何時(shí)候,。并且,使用許多在可以訪問(wèn)敏感業(yè)務(wù)數(shù)據(jù)的設(shè)備上運(yùn)行的不受信任的應(yīng)用程序同樣是一個(gè)重大的安全風(fēng)險(xiǎn),。

  此外,,新興技術(shù)與傳統(tǒng)技術(shù)之間的拉鋸戰(zhàn)對(duì)組織采用零信任架構(gòu)的計(jì)劃也構(gòu)成了另一個(gè)重大障礙,。許多陳舊的設(shè)備和系統(tǒng)無(wú)法通過(guò)管理動(dòng)態(tài)規(guī)則來(lái)實(shí)現(xiàn)零信任安全模型。此外,,一些傳統(tǒng)設(shè)備也不能很好地與在驗(yàn)證授權(quán)訪問(wèn)時(shí)限制未授權(quán)訪問(wèn)所需的現(xiàn)代方法或技術(shù)一起使用,。

  一項(xiàng)基本的零信任原則是映射組織的關(guān)鍵數(shù)據(jù)、應(yīng)用程序,、設(shè)備以及用戶如何訪問(wèn)敏感信息并與之交互,。然而,組織普遍面臨的挑戰(zhàn)是滿足零信任架構(gòu)的以數(shù)據(jù)為中心的需求,,并將其部署到傳統(tǒng)的數(shù)據(jù)孤島中,。

  設(shè)計(jì)適合自身業(yè)務(wù)模型零信任安全架構(gòu)之路

  因此,顯而易見(jiàn)實(shí)現(xiàn)零信任安全架構(gòu)不是一蹴而就的,,隨著越來(lái)越多的組織支持混合或遠(yuǎn)程工作文化,,執(zhí)行零信任模型將需要做大量過(guò)渡性工作,。最好的零信任安全解決方案可以顯著幫助提高網(wǎng)絡(luò)彈性和安全遠(yuǎn)程訪問(wèn)。這些解決方案不僅限于威脅檢測(cè)和響應(yīng),。相反,,它還包括端點(diǎn)安全、多因素身份驗(yàn)證 (MFA),、 云安全,、身份訪問(wèn)管理等在內(nèi)的多種方法。

  ● 訪問(wèn)管理和分段是至關(guān)重要的元素,。組織可以考慮將零信任模型應(yīng)用于應(yīng)用程序訪問(wèn),。高級(jí)零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 提供對(duì)應(yīng)用程序的輕松訪問(wèn),無(wú)論應(yīng)用程序位于何處或從何處訪問(wèn),。由于每個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)都不同,,因此當(dāng)應(yīng)用程序位于不同位置(如 SaaS 或本地)時(shí),應(yīng)用程序控制具有挑戰(zhàn)性,。

  ● ZTNA 中集成基于防火墻的客戶端是克服混合工作文化障礙的另一種方法,。ZTNA 模型是從云端自托管、自管理或完全托管的服務(wù),,因此應(yīng)用程序或用戶在哪里都無(wú)關(guān)緊要,;它將提供安全的遠(yuǎn)程訪問(wèn)。因此,,有效的零信任安全解決方案必須成為任何綜合網(wǎng)絡(luò)安全戰(zhàn)略的一部分,。為了克服陳舊系統(tǒng)問(wèn)題,組織可以簡(jiǎn)單地向它們部署 MFA,,由于 MFA 是網(wǎng)絡(luò)安全的主要組成部分,,它將改善實(shí)施零信任所需的安全態(tài)勢(shì)和威脅響應(yīng)。

  ● 為防止遺留數(shù)據(jù)孤島問(wèn)題,,組織可以考慮引入微分段設(shè)計(jì),。這取決于要分割什么、需要什么訪問(wèn)控制以及誰(shuí)擁有特權(quán)訪問(wèn)權(quán)和所需保護(hù)措施的概念,。通過(guò)分段,,還可以輕松阻止攻擊在內(nèi)部傳播,并確保將影響限制在有限的段內(nèi),。

  總之,,作為一種以身份為中心的業(yè)務(wù)和架構(gòu)安全解決方案,雖然零信任架構(gòu)能夠幫助組織免受大部分網(wǎng)絡(luò)攻擊,,但組織必須對(duì)其環(huán)境和現(xiàn)有能力進(jìn)行零信任評(píng)估,,并制定實(shí)現(xiàn)該目標(biāo)的路線圖,最終選擇適合組織當(dāng)前業(yè)務(wù)模型的零信任安全解決方案,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]