有這樣一句俗語:“不要和我談信賴,傷感情�����。”在很多情況下����,信賴其實(shí)是沒有意義的,必須通過制度來確定責(zé)任范圍�����,在網(wǎng)絡(luò)安全方面更是如此����。“我相信網(wǎng)絡(luò)沒有安全問題”在切實(shí)的網(wǎng)絡(luò)安全威脅面前蒼白無力��,網(wǎng)絡(luò)安全要構(gòu)建“零信任”環(huán)境����,永遠(yuǎn)要進(jìn)行驗(yàn)證。具體如何構(gòu)建呢��?主要從這五個方面入手���。
(網(wǎng)絡(luò)安全)
1.界定保護(hù)表面范圍��。
零信任環(huán)境下��,企業(yè)不會專注于攻擊表面,而只會專注于保護(hù)表面����,專注于對公司最有價值的關(guān)鍵數(shù)據(jù)��、應(yīng)用程序、資產(chǎn)和服務(wù)(DAAS)��。保護(hù)表面比如,信用卡信息����,受保護(hù)的健康信息(PHI)��,個人身份信息(PII)��,知識產(chǎn)權(quán)(IP),應(yīng)用程序(現(xiàn)成的或定制的軟件);SCADA控件,銷售點(diǎn)終端��,醫(yī)療設(shè)備���,制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS�����,DHCP和Active Directory等服務(wù)。
一旦界定保護(hù)面后���,可以將控件盡可能地移近它,附上限制性的���、精確的和可理解的策略聲明���,以此創(chuàng)建一個微邊界(或分隔的微邊界)����。
2.記錄事務(wù)流量���。
流量在網(wǎng)絡(luò)中的傳輸方式?jīng)Q定了它的保護(hù)方式。因此���,獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息十分重要�����。記錄特定資源的交互方式有助于適當(dāng)?shù)丶訌?qiáng)控制并提供有價值的上下文信息��,確保最佳的網(wǎng)絡(luò)安全環(huán)境�,同時對用戶和業(yè)務(wù)運(yùn)營的干擾降到最低�����。
3.構(gòu)建零信任IT網(wǎng)絡(luò)��。
零信任網(wǎng)絡(luò)完全可以自定義����,而不僅是一個通用的設(shè)計。而且該體系結(jié)構(gòu)主要圍繞保護(hù)表面構(gòu)建����。一旦定義了保護(hù)表面并根據(jù)業(yè)務(wù)需求記錄了流程����,就可以從下一代防火墻開始制定零信任架構(gòu)�。下一代防火墻充當(dāng)分段網(wǎng)關(guān)��,在保護(hù)表面周圍創(chuàng)建一個微邊界����。對任何嘗試訪問保護(hù)表面內(nèi)的對象使用分段網(wǎng)關(guān),可以強(qiáng)制執(zhí)行附加的檢查和訪問控制層���,一直到第七層�。
4.創(chuàng)建零信任安全策略��。
構(gòu)建網(wǎng)絡(luò)后����,將需要創(chuàng)建零信任策略來確定訪問流程。訪問用戶對象��、訪問的應(yīng)用程序��、訪問原因、傾向的這些應(yīng)用程序連接方式以及可以使用哪些控件來保護(hù)該訪問��,這些問題都要提前了解��。使用這種精細(xì)的策略實(shí)施級別�����,可以確保僅允許已知的流量或合法的應(yīng)用程序連接��。
5.監(jiān)視和維護(hù)網(wǎng)絡(luò)��。
這最后一步���,包括檢查內(nèi)部和外部的所有日志��,并側(cè)重于零信任的操作方面�。由于零信任是一個反復(fù)的過程����,因此檢查和記錄所有流量將大大有益,可提供寶貴的參考����,以了解如何隨著時間的推移改進(jìn)網(wǎng)絡(luò)�����。
關(guān)于炫億時代
北京炫億時代科技有限公司(以下簡稱炫億時代)成立于2010年��,是一家集IT網(wǎng)絡(luò)產(chǎn)品分銷���、IT系統(tǒng)集成、應(yīng)用軟件開發(fā)與IT服務(wù)為一體的高科技企業(yè)����。自成立至今�,炫億時代專注于為廣大中小微企業(yè)用戶提供幫助其實(shí)現(xiàn)信息化、智能化�、數(shù)字化的IT綜合解決方案和一站式IT服務(wù),搭建綜合性服務(wù)平臺����,滿足客戶不同階段、不同業(yè)務(wù)�、不同場景的發(fā)展需求。
企業(yè)通訊
