黑客24小时在线接单的网站

黑客24小时在线接单的网站

2022年04月02日 23:41:00

NIST:七条零信任要点

现在零信任的定义遍天飞,总能听到原则、支柱、基础、关键点等各种词。虽然零信任的定义暂时不是绝对的,但还是需要一个共同可以理解的概念。NIST发布了NIST SP 800-27零信任结构描述了零信任的七个要点。

1. 所有的数据源和计算服务都必须被视为资源

现在不仅仅是终端用户设备或服务器被视为资源的时代。今天的网络由各种动态设备组成,包括从传统服务器和端点到服务(function-as-a-service, FaaS)这种动态云计算服务可以在特定许可下操作环境中的其他资源。

对于自身环境中的所有数据和计算资源,资源所有者必须确保他们拥有最基本的高级认证控制和最低许可接入控制。同时,为了满足后续的要点,所有资源必须能够在一定程度上相互交互,提供相关信号,并协助零信任中的一些结构组件做出决策。

2. 无论网络在哪里,都需要确保所有通信安全

在零信任环境问将在零信任环境中实施(zero trust network access, ZTNA)概念。这不同于传统的通过虚拟专用网络进行远程接入。

在ZTNA默认拒绝环境和接入策略。必须明确许可特定资源。此外,在ZTNA用户不应该感知这种许可。一般来说,很难改变你感觉不到的东西。

受疫情影响,地理位置分散的工作环境使这第二点对组织更加重要。因为他们有大量的员工从许多位置和设备访问内部资源。

3. 每个企业资源的接入需要基于会话许可

“人就像季节一样,会改变。”这种说法在数字身份时代更可信。在分布式计算环境的动态环境中,云本土结构和分布式员工将暴露出很多威胁。信任的概念不能超过单独的会话窗口。

这意味着,即使你在之前的会话中信任某个设备或身份,也不意味着你自然会在以后的会话中信任它。每个会话都应该以同样严格的标准来评估其对自身环境的威胁。与用户相关的异常行为或设备安全状态的变化是可能的问题和可能的事情;这些事情应该与每个会话有关,以评估是否允许访问和访问的权限范围。

4. 接入由动态策略决定——包括对客户身份、应用程序/服务和要求资产的可观察状态,以及其他行为和环境的属性

现代计算环境非常复杂,将延伸到远远超过传统组织边界的地方。解决这种情况的一种方法是使用它“信号”的方式,对自身环境进行接入控制决策。

微软的 Conditional Access图表可视化是一种很好的方法。接入和许可的决策必须考虑信号。这些因素可以是用户和位置、设备及其相关安全状态、实时风险和应用程序关联。这些信号应支持完全接入、限制性接入或无法接入的决策。企业还可以根据这些信号进行额外的评估,以要求更高水平的认证保证,如多因素验证或限制与这些信号相关的接入水平。

5. 企业需要监控和评估所有所有及相关资产的完整性和安全状态

在零信任模型中,没有设备或资产是自然信任的。每个资源的要求必须触发安全状态评估。这包括对接入环境的企业资产的持续状态监测,无论是企业自身拥有的资产还是与其他实体有关——只要他们访问内部资源,就需要监控。同样,它还包括基于持续监控和报告的快速补丁修复。回到以前基于会话许可的例子,可以检查这些设备的状态,以确保它们没有高风险漏洞或重要的安全补丁。

通过这种动态对所有及相关资产的完整性和安全状态的理解和监控,可以根据许可接入权限制定策略和决策。

6. 所有资源的认证和授权都是动态的,在获得许可证之前必须严格执行

就像之前讨论过的例子一样,接入许可证和信任的概念是在动态和持续的状态下进行的。这是一个持续和动态的过程,不会因为用户创建了一个账户而停止,因为相关的接入许可证。这是一个重复的过程,由于各种因素,实施策略。

7. 企业需要尽可能多地收集当前的资产、网络基础设施和通信状态信息,并于改善其安全状况。

技术环境受到很大威胁的影响,因此企业必须保持持续的监控,以确保他们能够感知到自己环境中的事件。零信任架构由NIST 800-207三个关键组件组成:

                   
  • 策略引擎
    •                
  • 策略管理
    •                
  • 策略执行点

在现有状态下获得的资产、网络基础设施和通信信息可以设施和通信信息的决策能力,并确保能够避免形成风险的决策。

零信任不只是一次旅途

许多组织犯的一个错误是,零信任是一个需要到达的目的地;他们认为,只要他们购买正确的工具,他们就可以在自己的环境中实现零信任。这显然不是零信任的有效方式。当然,工具可以帮助实施零信任,使组织更接近零信任结构,但这不是灵丹妙药。就像大多数一样IT与网络安全一样,它由人、工艺和技术组成。

就像NSA发布的《拥抱零信任安全模型》文中那样,最重要的建议是从一个成熟的方式实践零信任,包括了最初的准备,以及基础、进阶和高级阶段的成熟度变化。

这意味着第一步是准备:了解你目前的位置,需要填补和缺陷,以及当前的结构、实践和过程如何匹配上述零信任的关键点。然后,制定一个解决这些问题的计划。最重要的是,这些都需要时间来测试。

点评

自去年以来,零信任的概念在中国逐渐受到重视。然而,零信任的实施并不是一蹴而就的。除了技术,它不仅需要系统和方法的支持,还需要时间等待效果的出现。

   

标签:零信任 网络安全 网络攻击 

作者:访客 , 分类:缓冲区溢出 , 浏览:502 , 评论:5

  • 评论列表:
  •  依疚颜于
     发布于 2022-06-15 03:33:59  回复该评论
  • A默认拒绝环境和接入策略。必须明确许可特定资源。此外,在ZTNA用户不应该感知这种许可。一般来说,很难改变你感觉不到的东西。受疫情影响,地理位置分散的工作环境使这第二点对组织更加重要。因为他们有大量的员工从许多位置和设备访问
  •  鸠骨萌懂
     发布于 2022-06-15 13:05:10  回复该评论
  • 。这意味着,即使你在之前的会话中信任某个设备或身份,也不意味着你自然会在以后的会话中信任它。每个会话都应该以同样严格的标准来评估其对自身环境的威胁。与用户相关的异常行为或设备安全状态的变化是
  •  莣萳又怨
     发布于 2022-06-15 05:44:22  回复该评论
  • 和动态的过程,不会因为用户创建了一个账户而停止,因为相关的接入许可证。这是一个重复的过程,由于各种因素,实施策略。7. 企业需要尽可能多地收集当前的资产、网络基础设施和通信状态信息,并于改善其安全状况。技术环境受到很大威胁的影响,因此企业必须保持持续的监控,
  •  弦久朮生
     发布于 2022-06-15 07:06:32  回复该评论
  • 可证之前必须严格执行就像之前讨论过的例子一样,接入许可证和信任的概念是在动态和持续的状态下进行的。这是一个持续和动态的过程,不会因为用户创建了一个账户而停止,因为相关的接入许可证。这是一个重复的过程,由于各种因素,实施策略。7. 企业需要尽可能多地
  •  假欢掩吻
     发布于 2022-06-15 06:03:16  回复该评论
  • 保能够避免形成风险的决策。零信任不只是一次旅途许多组织犯的一个错误是,零信任是一个需要到达的目的地;他们认为,只要他们购买正确的工具,他们就可以在自己的环境中实现零信任。这显然不是零信任的有效方式。当然,工具可以

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.