4月9日,美国国家安全局(NSA)发布了题为《在数据支柱中推进零信任成熟度》的报告,旨在于数据安全层面提供指导,以增强数据整体安全性并保护静态和传输中的数据。(如下图)
一、主要内容
报告中的建议侧重于将数据访问限制为授权个人。该报告确认了数据支柱的价值及其功能并介绍了其如何降低风险,其中涵盖了加密、标记和标签的使用、数据丢失预防策略以及数据权限管理工具的应用。该报告旨在确保只有获得授权的人才能访问数据。报告中概述的数据支柱功能集成到一个全面的零信任(ZT)架构中,这七大支柱如下:
-
用户
-
设备
-
网络/环境
-
应用程序和工作负担
-
可视性和分析
-
自动化和协调
-
数据
二、相关建议
报告指出传统安全方法通常仅依靠外围防御来确保网络安全。但最近发生的事件突出表明,成功在信息系统中站稳脚跟的对手往往可以轻易地不受限制地访问这些系统中的所有数据,但是通过应用数据支柱中的建议,包括识别数据风险、将细粒度的数据属性整合到访问控制机制中,以及监控数据访问和使用,企业将减少漏洞造成的影响和后果,并在网络入侵生命周期的早期就识别可疑活动。
(1)企业需要知道自己拥有哪些数据,并跟踪数据在企业内外的移动和访问情况。跟踪数据可能具有一定难度,因此建议采用一种自动方法来识别网络上有价值的数据或执行数据清点操作,这样方可确保只有授权实体才能访问数据。
(2)要增强对数据颗粒度的控制。对数据的细粒度控制不仅能保证数据在企业内部的安全,还能确保数据可以安全地与其他组织和合作伙伴共享,以实现互操作性。实施这些活动将限制攻击者接触目标数据资产的能力。它还将为系统管理员提供受损资产的可视性,一旦对手成功入侵,这些数据资产可以得到及时保护。
数据支柱功能可以验证对数据的所有访问权限,这是建立更完善的网络安全的关键基础要素之一。通过这种方式可以减少漏洞的影响,并能更早地发现甚至是高级的恶意网络行为者活动。
三、美国正呼吁加强零信任能力建设
自2021年2月发布题为《拥抱零信任安全模式》的报告以来,美国国家安全局不断发布更新和相关文件,指导如何采用零信任思维确保系统安全。例如,在4月5日美国国家安全局发布的《混合云和多云环境带来的复杂性的应对》中指出应将零信任原则应用到云安全领域中。
本次发布的报告指出,采用零信任原则并非一蹴而就。要实施零信任原则,就必须进行细致周密的规划,并不断进行渐进式改进,使网络安全保护、响应和操作逐步走向成熟。
来源|NSA官网