零信任安全是一种数据保护策略,除非系统管理员进行彻底验证,否则网络边界内外的所有设备和实体都不受信任。Device Control Plus 可帮助管理员为其网络实施和自动化零信任安全协议,以确保对来自未经批准的外围设备的所有端点数据提供最佳保护和限制。在此零信任框架内,所有请求访问的新设备最初都必须被视为敌对设备,直到提供访问要求的正当理由并且可以对设备所有者的凭据进行身份验证。
什么是受信任的设备
受信任的设备是经常用于重要目的的设备,受信任设备列表列出的就是此类设备。此列表应简短,并应具有排外性,即,应仅将被高度授权的员工经常使用的设备列为受信任设备。同时阻止所有其他设备,或者仅允许在特定条件下访问有限的信息。
零信任架构与传统安全模型
传统的安全模型基于这样的假设:企业内部的所有内容都可以信任,从而为内部攻击提供了更多机会。设备权限的零信任安全模型,每次新设备请求访问终结点时都会持续评估信任。
构建零信任网络架构的重要性
每天都有许多设备与网络连接和断开连接。一些设备可以由公司本身严格用于工作目的,而其他设备可以是用户的个人财产。
在BYOD(自带设备)环境中,任何员工都有机会访问本地机器并连接他们的设备,这些设备可以包括USB和其他通常具有即插即用性质的便携式存储介质。除非有意关闭设备的自动播放模式,否则此个人设备中托管的任何恶意软件都可能感染连接的计算机,并可能劫持对以网络为中心的资源的控制。此类事件的结果可能是致命的,并可能导致硬件功能障碍、服务停机、生产力下降和数据丢失。
零信任安全框架在设备控制和端点安全方面的优势
- 了解访问需求
- 通过持续监控设备流量来降低风险
- 降低违规的可能性
- 实施零信任安全性并提高业务敏捷性
- 独立于高端安全解决方案
了解访问需求
管理员可以根据设备是什么、用户是谁以及他们需要什么访问权限来定义信任。要根据上述属性授予策略,请实施基于角色的访问控制 (RBAC)。使用零信任安全框架,在验证之前,任何被标识为未经授权的设备都无法与终结点通信。
通过持续监控设备流量来降低风险
凭借USB设备的通用性,任何人都可以将任何东西插入计算机端口。如果看不到终结点,则无法控制它们。使用零信任安全模型,首先确定连接到终结点的任何设备是否为受信任的设备。对于列入黑名单的设备,访问将被拒绝,管理员将立即收到有关被阻止设备的警报。
降低违规的可能性
通常,当攻击者找到渗透点时,他们会尝试深入网络以定位敏感数据。零信任网络可阻止数据的横向移动,从而最大限度地减少外泄点。此外,即使受到信任和批准,连接也仅限于有权访问的计算机和用户。
实施零信任安全性并提高业务敏捷性
随着当今企业以极快的速度运营,相比之下,基于端口的安全控制可能会停滞不前。在恶意入侵的情况下阻止 USB 端口可能会导致生产力损失;相反,利用零信任安全模型来确保业务的平稳运行,因为它在后台无缝运行而不会受到干扰。
独立于高端安全解决方案
Device Control Plus 等零信任解决方案消除了实施高端安全堆栈(如虚拟或硬件设备)的复杂性。不必购买、设置、安装和部署高端组件,也不必为每个地方重复此过程。相反,通过单个控制台控制所有内容,该控制台具有旨在制定和维护零信任安全性的内置功能。
如何创建零信任安全架构
Device Control Plus 提供受信任设备列表功能,允许管理员将身份和访问原因已验证的设备列入白名单。
- 授权设备:从添加现有设备到导入多个新设备,快速创建受信任设备列表。通过Device Control Plus ,管理员只需指定该设备的设备实例路径即可添加新设备。
- 制定特定的受信任设备列表:根据设备和用户的角色和任务,为网络中的设备和用户创建多个受信任的设备列表。例如,零信任网络允许管理员根据自己的条件在企业中促进自带设备策略。
如何添加受信任的设备
Device Control Plus的“受信任设备列表”包含管理员列入白名单的所有设备。可以通过以下方式之一添加设备:
- 选择设备实例路径
- 通配符模式
选择设备实例路径
在“受信任设备”页面上,可以根据每个设备的设备实例路径来标识每个设备并将其添加到列表中,该路径包括设备的功能特性参数,例如设备的类型、供应商名称,型号和唯一设备ID。
在添加尚未发现的新设备时,必须手动找到并复制设备实例路径。但是,对于以前在网络中检测到的设备,设备实例路径将自动显示在控制台中。也可以通过导入CSV文件为受信任的设备上载设备实例路径,输入路径后,可以轻松地将每个设备添加到列表中。
通配符模式
企业通常为员工提供公司购买的设备,以用于工作目的。这些设备通常是批量购买的,并且具有相同的型号和类型和/或从同一供应商处购买。由于所有这些设备都是公司统一购买的,因此可以直接归类为受信任设备。但是,一一添加这些设备可能很麻烦。此时,通配符功能使管理员可以通过使用通配符(例如(*)或(?))替换设备实例路径中的一个或多个标识元素来同时添加所有这些设备。
创建“受信任设备”列表的好处
- 使管理员能够完全控制网络边界
- 有效的资产清单管理
- 消除内部攻击的所有利用途径
使管理员能够完全控制网络边界
Device Control Plus使IT管理员能够警惕地将设备检测和分类为三个主要类别:受信任的设备,属于关键人员的白名单设备;允许的设备,即具有最小移动性的限制性权限的设备;和被阻止的设备,这是默认情况下被列入黑名单的所有其他设备,其所有者需要直接向管理员发送请求,并提供充分的理由说明他们希望进行什么活动以及为什么要进行这些活动访问。此安全模型可以避免侵入者可能带来的任何安全漏洞,并为IT管理员提供了允许哪些设备进入网络的最终权限。
有效的资产清单管理
通过使用Device Control Plus维护“受信任的设备”列表,可以更轻松地发现网络内存在的任何可疑设备。如果这些可疑设备不在官方清单中,那么就可以准确找出可能被利用的安全漏洞。通常,管理员必须逐个系统地授予特定设备访问权限,即,如果特定的一组设备频繁访问每台计算机,需要访问权限,则仅应授予这些设备访问权限。由于可以为每台计算机创建一个“受信任的设备列表”,因此准确管理哪些设备与哪些系统进行交互也可以变得更加容易。
消除内部攻击的所有利用途径
使用受信任的设备列表是一个简单的方法,企业可以向谁授予更高的特权,而又不会由于恶意攻击者而导致特权升级或潜在的信息泄露情况的风险。推荐仅将属于重要职员的设备添加到列表中,因此除了查看信息等基本功能外,还可以将文件访问和传输权限授予受信任的设备。这样一来,授权用户就可以检索执行其专业工作所需的数据,而不会遇到过多的流程障碍。另外,由于这些设备是经过仔细选择并经过验证的,属于受信任的员工,因此IT管理员可以放心,几乎不存在通过内部攻击造成数据泄露事件的可能性。
维护受信任设备列表的重要性
许多企业本着维护员工工作自由的精神,通常不对外围设备的使用作出规定。这是因为这些设备应用于许多方面,例如可以方便地将多媒体和其他文件传输到各种其他计算机。但是,在具有这一优势的同时,公司也可能会忽略使用这些外围设备(如入侵者注入的恶意软件或数据泄漏)可能造成的致命网络安全风险。
那么,IT管理员如何能在保留员工使用外围设备的优势的同时,确保所有相关的网络威胁都被完全消除,一个简单而有效的解决方案是整理受信任设备的列表。
Device Control Plus是一个全面的数据丢失防护解决方案,可帮助IT 管理员控制、阻止和监视USB及外围设备未经授权的访问敏感数据。