什么是零信任?它值得吗?
的概念零信任这并不是什么新鲜事,而且已经存在近十年了。零信任的核心是为您的组织提供的一种安全策略,它消除了防火墙、路由器和交换机等传统边界,不再是用于确定设备是否可信的唯一因素。使用此模型,您不再仅仅因为设备连接到您的网络而信任它们。Zero Trust期望恶意用户能够访问您的内部网络,但提供了一个框架来阻止它们的有效性。
我看到一些业内同事声称,如果你不能构建一个全新的环境,那么零信任就不是一个有效的选择。我不同意这种想法,我认为,虽然从绿地构建零信任架构可能更容易,但它确实允许棕地运营商采用这些原则,并在现有的安全模型中添加额外的层。
实际开始
在许多意义上,我在这个博客中所解释的是每个人都应该在他们的日常基础设施中使用的简单的最佳实践。在开始构建Zero Trust架构时,请考虑以下步骤。
实现802.1X和分段
不要仅仅因为设备可以访问您的设备并连接到员工办公室的交换机端口而信任它们。甚至,你不应该仅仅因为设备连接到CEO办公室的交换机端口就无条件地访问它。在有线和无线部署中使用802.1X允许您应用限制设备或用户只访问他们应该访问的资源的策略。
您甚至可以进一步实现它动态分割从Aruba ClearPass应用集中策略。您可以灵活地将有线流量使用到本地交换机,或将其通过控制器通过隧道返回,用于防火墙和深度包检查。这对于未知设备和物联网设备尤其有用。
停止信任Outbound流量
我曾为此感到内疚,我知道修复它需要做多少工作。停止允许来自网络内部的通信未经检查和过滤而离开。我曾见过许多只基于入站流量的规则集的网络,它们忽略了更大的部分。如果您的域控制器不应该到达Internet,应用一个规则来阻止它。我们一次又一次地看到,由于假定网络中的设备是可信的,所以会发生数据外渗。
开始使用多因素身份验证
Zero Trust部署不仅包括网络和防火墙策略。应用程序必须是体系结构的一部分。电子医疗记录、Microsoft Office 365、谷歌G Suite和其他应用程序都应该使用多因素身份验证(MFA)。
首先构建应用程序权限——谁有权访问,他们有权访问什么,他们有多少权限,等等。将MFA纳入您的内部和外部应用程序的申请审查过程。如果不能支持分层安全性方法,就不要让具有关键信息的系统进入您的环境。
结束糟糕的证书管理
在Windows 10之前,应用程序通常要求用户拥有完整的本地管理员证书。在过去的四年里,Windows 10基本上已经把这个要求变成了历史,系统管理员也应该这样做。如果您确实需要本地管理员凭据,请使用仅用于特定任务的单独帐户。另外,要制定防止凭证共享的政策。锁定你在多个地方同时登录的账户,即使这会激怒一些经理和他们的助手。
记录、监视和自动化
使用SPAN端口或tap发送数据来分析用户和设备行为,并观察已知的妥协迹象。同时,保持和分析系统日志。由于我们在零信任框架下工作,我们不能信任任何东西。当负责会计的队友开始使用PowerShell来运行系统命令时,这种行为应该会触发警报。基于这些警告信息,我们应该能够自动化响应,无论我们决定将用户从网络中踢出去,还是将他们放置在带有醒目页面的围墙中以联系安全部门。
在攻击之后,不管成功与否,你都会很高兴在事后回顾中得到这些信息。
零信任是值得努力的
我希望您和您的组织能够看到对传统安全模型失去信任的价值。“零信任”肯定不会是一夜之间的过渡,但这个目标是值得努力的。考虑到IBM Security所做的研究2019年,一次入侵的平均成本为392万美元,为了防止黑客入侵,这样做可能更有价值。
为了更多地了解零信任,我鼓励你去倾听阿鲁巴不插电-第26集:不相信任何人:真实世界中的零信任。之后,进入Airheads安全论坛讨论如何在零信任环境下改变自己的运作方式。
阅读我的其他博客
