部署零信任访问的关键点?
零信任访问移除了间接信任
零信任访问的关键在于知道和控制哪些人、哪些东西在自己的网络上。通过对用户的接入进行限制,同时启用进一步的身份认证,零信任访问可以减少隐患,从而只有合法用户才能接入与他们身份相关的系统——至少是“需要知晓”等级的接入权限。
零信任访问和零信任网络接入不同
零信任网络接入(Zero Trust Network Access,ZTNA)是零信任访问的一个组件,用于控制应用的接入,无论应用的用户或者应用本身在哪。用户可能在一个企业网络上、可能在家工作、或者其他某个地方。应用可能存在于企业的数据中心、在私有云、或者在公共网络上。零信任网络接入将零信任模型从网络侧继续延展,通过将应用从互联网上隐藏减少攻击面。
网络准入控制是零信任访问的起点
如果要落地零信任访问,首先要知道网络上所有的设备。一个网络准入控制解决方案可以准确发现和识别每个在网络上或者试图接入网络的设备,对其进行扫描以确保设备并没有已经遭到攻击,然后为该设备建立角色和权限。
网络准入控制会记录所有设备,从用户电话和笔记本电脑,到网络服务器、打印机、以及如HVAC控制器或者安全读卡器等无界面物联网设备。
微隔离
一旦知道了网络上有些什么,就可以用网络准入控制的动态网络微隔离将每个设备分配到适合的网络区域。决定哪个是正确的区域会基于一系列的因素,包括设备类型、功能、网络上的目的等。
网络准入控制同样可以支持基于目的隔离,可以通过下一代防火墙平台智能化分隔设备。分隔区可以基于业务目标,比如GDPR隐私法律的合规要求,或者PCI-DSS的交易保护。在有基于目的的分区情况下,无论在网络何处的资产,都会基于其标签符合合规需求,从而减少满足合规需要的时间和成本。
零信任访问需要终端软件
为了解决离线设备接入客户端或者云的解决方案,需要在终端上运行相关软件。这个软件必须在终端提供持续的防护以及基于行为的检测,防止设备沦陷,无论用户是否在线。
这类软件同样需要能够通过VPN连接、流量扫描、URL过滤和沙箱能力确保远程接入安全。共享终端的安全状态是认证和授权流程的一部分,包括对终端进行遥测,收集终端的操作系统和应用、已知漏洞和补丁,以及安全状态,从而准确赋予设备接入规则。