零信任安全的四個關(guān)鍵原則

責(zé)任編輯:cres

作者:Steve Rosenthal

2021-11-15 10:05:47

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

零信任模型是一種需要由企業(yè)整體采用的整體安全方法,依靠技術(shù)和治理流程的組合來保護(hù)IT環(huán)境。為了使其有效,需要在企業(yè)的每個層面進(jìn)行技術(shù)和運(yùn)營的變革。本文介紹了采用零信任模型需要牢記的四個原則。

由于網(wǎng)絡(luò)犯罪威脅著各種規(guī)模和各行業(yè)的企業(yè),很多企業(yè)已經(jīng)意識到其安全現(xiàn)狀已經(jīng)難以滿足需求,必須實施零信任。
 
零信任是一種安全模型,可以概括為“從不信任,始終驗證”。換句話說,無論是從企業(yè)網(wǎng)絡(luò)內(nèi)部還是外部嘗試連接到系統(tǒng)或數(shù)據(jù),未經(jīng)驗證都不會授予訪問權(quán)限。
 
許多企業(yè)可能承諾采用零信任模型,但無法通過單一技術(shù)或解決方案實現(xiàn)。與其相反,它是一種需要由企業(yè)整體采用的整體安全方法,依靠技術(shù)和治理流程的組合來保護(hù)IT環(huán)境。為了使其有效,需要在企業(yè)的每個層面進(jìn)行技術(shù)和運(yùn)營的變革。
 
要采用零信任模型,需要牢記以下四個原則:
 
1.物理安全
 
對于所有形式的計算,無論是在內(nèi)部部署設(shè)施還是在云中,數(shù)據(jù)中心仍然代表著處理和存儲客戶數(shù)據(jù)的中心。更重要的是,它還代表了抵御網(wǎng)絡(luò)盜竊的第一道防線。
 
首先,物理安全包括對數(shù)據(jù)中心的現(xiàn)場監(jiān)控,例如采用全天候的安全攝像頭、專業(yè)的安全團(tuán)隊在現(xiàn)場巡邏。
 
其次,必須通過批準(zhǔn)的訪問列表來控制對所有設(shè)施的訪問。這意味著名單上的每個人都有與他們的門禁卡相關(guān)聯(lián)的照片和生物識別檔案;要進(jìn)入數(shù)據(jù)大廳,經(jīng)過批準(zhǔn)的人員必須刷卡并驗證其生物特征,然后才能獲得訪問權(quán)限。
 
還必須確保電源、冷卻和滅火等關(guān)鍵環(huán)境要素的安全,以便在發(fā)生電源故障或火災(zāi)時使系統(tǒng)保持在線狀態(tài)。
 
2.邏輯安全
 
邏輯安全是指技術(shù)配置和軟件的各個層,它們相結(jié)合創(chuàng)建了安全穩(wěn)定的基礎(chǔ)。邏輯安全應(yīng)用于網(wǎng)絡(luò)層、存儲層和管理程序?qū)印?/div>
 
在網(wǎng)絡(luò)層,客戶防火墻后面的兩個網(wǎng)段不能以任何方式重疊或交互。通過將安全邊界與該邊界后面的網(wǎng)絡(luò)隔離相結(jié)合,企業(yè)的網(wǎng)絡(luò)流量是專用的,并且對平臺上的任何其他客戶都是不可見的。
 
對于存儲平臺,繼續(xù)采用分段、隔離和安全劃界的概念。
 
最后,不要忘記虛擬機(jī)監(jiān)控程序。與網(wǎng)絡(luò)和存儲一樣,實現(xiàn)邏輯分段是為了避免爭用問題,通常稱之為“嘈雜的鄰居”。通過確保資源在邏輯上分配給各個客戶,該資源被標(biāo)記為在他們的私人環(huán)境中使用。
 
3.流程
 
沒有經(jīng)過培訓(xùn)和經(jīng)驗豐富的人員,采用任何物理或邏輯安全解決方案都是無效的。如果管理系統(tǒng)的人員不理解或不知道如何在為保護(hù)各種系統(tǒng)而建立的控制范圍內(nèi)工作,則解決方案將失敗。很簡單,人們不會在家庭安全系統(tǒng)上花上幾千美元的費(fèi)用。
 
安全流程甚至在員工入職企業(yè)之前就開始了,并在開始工作之前進(jìn)行了背景調(diào)查。一經(jīng)聘用,所有員工都應(yīng)在入職流程中接受安全和合規(guī)培訓(xùn),并至少每六個月接受一次安全培訓(xùn)。
 
要使用零信任模型進(jìn)行操作,除非另有證明,否則強(qiáng)制執(zhí)行“拒絕訪問”是關(guān)鍵步驟。通過基于角色的訪問控制(RBAC)模型授予訪問權(quán)限,根據(jù)其功能為特定個人提供訪問權(quán)限。除了基于角色的訪問控制(RBAC)之外,特權(quán)帳戶還配置為使用雙因素身份驗證進(jìn)行操作。這是訪問關(guān)鍵系統(tǒng)所需的更高級別的授權(quán)。除了當(dāng)前的授權(quán)之外,所有員工都要接受定期訪問審查,以確定并確保他們在更改角色、團(tuán)隊或部門后仍然需要訪問權(quán)限。
 
更通用的面向流程的安全活動包括所有系統(tǒng)的年度滲透測試和定期修補(bǔ)計劃。
 
4.持續(xù)審計
 
最后,必須定期審查和審核現(xiàn)有的流程和系統(tǒng),以確保合規(guī)性并遵守企業(yè)的安全標(biāo)準(zhǔn)。在金融服務(wù)和醫(yī)療保健等高度監(jiān)管的行業(yè)中,這一點尤其重要。
 
無論企業(yè)現(xiàn)在還是將來追求零信任,上述各種物理、邏輯、流程和審計元素都可以作為確保數(shù)據(jù)安全的起點。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號