這個(gè)行政命令的第三節(jié)指出,行業(yè)機(jī)構(gòu)(以及與他們的合作伙伴)必須采用安全最佳實(shí)踐,向零信任架構(gòu)邁進(jìn),并加速移動以保護(hù)SaaS、IaaS和PaaS等云服務(wù)。它呼吁政府機(jī)構(gòu)更新現(xiàn)有計(jì)劃,優(yōu)先考慮采用云計(jì)算技術(shù)的資源,并制定實(shí)施零信任架構(gòu)的計(jì)劃(使用NIST的遷移步驟)。它還呼吁美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)進(jìn)行現(xiàn)代化改造,以通過零信任架構(gòu)在云計(jì)算環(huán)境中充分發(fā)揮作用,并呼吁美國聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)制定管理云服務(wù)提供商的安全原則,以納入各機(jī)構(gòu)的現(xiàn)代化工作。
由于供應(yīng)商對于零信任架構(gòu)是什么而感到困惑,以下探討它對網(wǎng)絡(luò)可見性和要求的影響。
美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)指出,“零信任是一組不斷發(fā)展的網(wǎng)絡(luò)安全范式的術(shù)語,它將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到專注于用戶、資產(chǎn)和資源。零信任架構(gòu)使用零信任原則來規(guī)劃工業(yè)和企業(yè)基礎(chǔ)設(shè)施和工作流程。”這種方法采用的基本NIST原則包括:
•企業(yè)專用網(wǎng)絡(luò)不被視為隱藏的信任區(qū)域。
•網(wǎng)絡(luò)上的設(shè)備可能不屬于企業(yè)所有或不可配置。
•沒有一種資源是固有可信的。
•并非所有企業(yè)資源都位于企業(yè)擁有的基礎(chǔ)設(shè)施上。
•遠(yuǎn)程企業(yè)主體和資產(chǎn)無法完全信任其本地網(wǎng)絡(luò)連接。
•在企業(yè)和非企業(yè)基礎(chǔ)設(shè)施之間移動的資產(chǎn)和工作流應(yīng)該具有一致的安全策略和狀態(tài)。
但是零信任架構(gòu)與網(wǎng)絡(luò)可見性或網(wǎng)絡(luò)性能監(jiān)控(NPM)有何關(guān)聯(lián)?
零信任架構(gòu)有三種NIST架構(gòu)方法具有網(wǎng)絡(luò)可見性影響:第一種是使用增強(qiáng)的身份治理,這意味著使用用戶身份僅允許在經(jīng)過驗(yàn)證后訪問特定資源。第二種是使用微分段,例如在劃分云計(jì)算或數(shù)據(jù)中心資產(chǎn)或工作負(fù)載時(shí),將流量與其他流量分開以包含但也防止橫向移動。第三種是使用網(wǎng)絡(luò)基礎(chǔ)設(shè)施和軟件定義的邊界,例如零信任網(wǎng)絡(luò)訪問(ZTNA),例如允許遠(yuǎn)程工作人員僅連接到特定資源。
NIST還描述了對零信任架構(gòu)部署的監(jiān)控。概述網(wǎng)絡(luò)性能監(jiān)控將需要安全功能以實(shí)現(xiàn)可見性。這包括應(yīng)該檢查和記錄網(wǎng)絡(luò)上的流量(并分析以識別和達(dá)到潛在的攻擊),包括資產(chǎn)日志、網(wǎng)絡(luò)流量和資源訪問操作。
此外,NIST對無法訪問所有相關(guān)和加密的流量表示擔(dān)憂——這些流量可能來自不是企業(yè)擁有的資產(chǎn)(例如使用企業(yè)基礎(chǔ)設(shè)施訪問互聯(lián)網(wǎng)的服務(wù))或應(yīng)用程序和服務(wù)。無法執(zhí)行深度數(shù)據(jù)包檢查或檢查加密流量的企業(yè)必須使用其他方法來評估網(wǎng)絡(luò)上可能的網(wǎng)絡(luò)攻擊者。
美國國防部將零信任架構(gòu)分解為七個(gè)信任支柱:用戶、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應(yīng)用程序和工作負(fù)載、數(shù)據(jù)、可見性和分析,以及自動化和編排。毫不奇怪,節(jié)點(diǎn)包管理器(NPM)與可見性和分析支柱直接相關(guān)。以下是NPM融入零信任架構(gòu)的四種方式:
•NPM可以提供場景詳細(xì)信息以及對跨其他支柱(包括應(yīng)用程序和用戶)的性能、行為和活動的理解。例如,監(jiān)控網(wǎng)絡(luò)各個(gè)部分的應(yīng)用程序性能或指向安全問題,如拒絕服務(wù)或受損網(wǎng)絡(luò)設(shè)備。NPM還可以針對來自各種用戶設(shè)備的應(yīng)用程序的流量模式提供用戶行為分析。
•NPM改進(jìn)了對異常行為的檢測,并使利益相關(guān)者能夠?qū)Π踩呗院蛯?shí)時(shí)訪問決策進(jìn)行動態(tài)更改。例如,利用網(wǎng)絡(luò)AIOps查找站點(diǎn)內(nèi)和站點(diǎn)間的異常行為。如果大量流量表明存在某種類型的數(shù)據(jù)泄露,則可以發(fā)出警報(bào)并調(diào)整安全策略。另一個(gè)例子是使用VXLAN的微分段網(wǎng)絡(luò),并具有各種虛擬網(wǎng)絡(luò)的可見性,其中包括每個(gè)VXLAN內(nèi)的流量。人們了解正確的安全策略是否有效很重要。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號