实施基于零信任网络安全的设备控制

news2024/12/25 12:58:59

零信任安全是一种数据保护策略,除非系统管理员进行彻底验证,否则网络边界内外的所有设备和实体都不受信任。Device Control Plus 可帮助管理员为其网络实施和自动化零信任安全协议,以确保对来自未经批准的外围设备的所有端点数据提供最佳保护和限制。在此零信任框架内,所有请求访问的新设备最初都必须被视为敌对设备,直到提供访问要求的正当理由并且可以对设备所有者的凭据进行身份验证。

什么是受信任的设备

受信任的设备是经常用于重要目的的设备,受信任设备列表列出的就是此类设备。此列表应简短,并应具有排外性,即,应仅将被高度授权的员工经常使用的设备列为受信任设备。同时阻止所有其他设备,或者仅允许在特定条件下访问有限的信息。

零信任架构与传统安全模型

传统的安全模型基于这样的假设:企业内部的所有内容都可以信任,从而为内部攻击提供了更多机会。设备权限的零信任安全模型,每次新设备请求访问终结点时都会持续评估信任。

构建零信任网络架构的重要性

每天都有许多设备与网络连接和断开连接。一些设备可以由公司本身严格用于工作目的,而其他设备可以是用户的个人财产。

在BYOD(自带设备)环境中,任何员工都有机会访问本地机器并连接他们的设备,这些设备可以包括USB和其他通常具有即插即用性质的便携式存储介质。除非有意关闭设备的自动播放模式,否则此个人设备中托管的任何恶意软件都可能感染连接的计算机,并可能劫持对以网络为中心的资源的控制。此类事件的结果可能是致命的,并可能导致硬件功能障碍、服务停机、生产力下降和数据丢失。

在这里插入图片描述

零信任安全框架在设备控制和端点安全方面的优势

  • 了解访问需求
  • 通过持续监控设备流量来降低风险
  • 降低违规的可能性
  • 实施零信任安全性并提高业务敏捷性
  • 独立于高端安全解决方案

了解访问需求

管理员可以根据设备是什么、用户是谁以及他们需要什么访问权限来定义信任。要根据上述属性授予策略,请实施基于角色的访问控制 (RBAC)。使用零信任安全框架,在验证之前,任何被标识为未经授权的设备都无法与终结点通信。

通过持续监控设备流量来降低风险

凭借USB设备的通用性,任何人都可以将任何东西插入计算机端口。如果看不到终结点,则无法控制它们。使用零信任安全模型,首先确定连接到终结点的任何设备是否为受信任的设备。对于列入黑名单的设备,访问将被拒绝,管理员将立即收到有关被阻止设备的警报。

降低违规的可能性

通常,当攻击者找到渗透点时,他们会尝试深入网络以定位敏感数据。零信任网络可阻止数据的横向移动,从而最大限度地减少外泄点。此外,即使受到信任和批准,连接也仅限于有权访问的计算机和用户。

实施零信任安全性并提高业务敏捷性

随着当今企业以极快的速度运营,相比之下,基于端口的安全控制可能会停滞不前。在恶意入侵的情况下阻止 USB 端口可能会导致生产力损失;相反,利用零信任安全模型来确保业务的平稳运行,因为它在后台无缝运行而不会受到干扰。

独立于高端安全解决方案

Device Control Plus 等零信任解决方案消除了实施高端安全堆栈(如虚拟或硬件设备)的复杂性。不必购买、设置、安装和部署高端组件,也不必为每个地方重复此过程。相反,通过单个控制台控制所有内容,该控制台具有旨在制定和维护零信任安全性的内置功能。

如何创建零信任安全架构

Device Control Plus 提供受信任设备列表功能,允许管理员将身份和访问原因已验证的设备列入白名单。

  • 授权设备:从添加现有设备到导入多个新设备,快速创建受信任设备列表。通过Device Control Plus ,管理员只需指定该设备的设备实例路径即可添加新设备。
  • 制定特定的受信任设备列表:根据设备和用户的角色和任务,为网络中的设备和用户创建多个受信任的设备列表。例如,零信任网络允许管理员根据自己的条件在企业中促进自带设备策略。

在这里插入图片描述

如何添加受信任的设备

Device Control Plus的“受信任设备列表”包含管理员列入白名单的所有设备。可以通过以下方式之一添加设备:

  • 选择设备实例路径
  • 通配符模式

选择设备实例路径

在“受信任设备”页面上,可以根据每个设备的设备实例路径来标识每个设备并将其添加到列表中,该路径包括设备的功能特性参数,例如设备的类型、供应商名称,型号和唯一设备ID。

在添加尚未发现的新设备时,必须手动找到并复制设备实例路径。但是,对于以前在网络中检测到的设备,设备实例路径将自动显示在控制台中。也可以通过导入CSV文件为受信任的设备上载设备实例路径,输入路径后,可以轻松地将每个设备添加到列表中。

通配符模式

企业通常为员工提供公司购买的设备,以用于工作目的。这些设备通常是批量购买的,并且具有相同的型号和类型和/或从同一供应商处购买。由于所有这些设备都是公司统一购买的,因此可以直接归类为受信任设备。但是,一一添加这些设备可能很麻烦。此时,通配符功能使管理员可以通过使用通配符(例如(*)或(?))替换设备实例路径中的一个或多个标识元素来同时添加所有这些设备。

创建“受信任设备”列表的好处

  • 使管理员能够完全控制网络边界
  • 有效的资产清单管理
  • 消除内部攻击的所有利用途径

使管理员能够完全控制网络边界

Device Control Plus使IT管理员能够警惕地将设备检测和分类为三个主要类别:受信任的设备,属于关键人员的白名单设备;允许的设备,即具有最小移动性的限制性权限的设备;和被阻止的设备,这是默认情况下被列入黑名单的所有其他设备,其所有者需要直接向管理员发送请求,并提供充分的理由说明他们希望进行什么活动以及为什么要进行这些活动访问。此安全模型可以避免侵入者可能带来的任何安全漏洞,并为IT管理员提供了允许哪些设备进入网络的最终权限。

有效的资产清单管理

通过使用Device Control Plus维护“受信任的设备”列表,可以更轻松地发现网络内存在的任何可疑设备。如果这些可疑设备不在官方清单中,那么就可以准确找出可能被利用的安全漏洞。通常,管理员必须逐个系统地授予特定设备访问权限,即,如果特定的一组设备频繁访问每台计算机,需要访问权限,则仅应授予这些设备访问权限。由于可以为每台计算机创建一个“受信任的设备列表”,因此准确管理哪些设备与哪些系统进行交互也可以变得更加容易。

消除内部攻击的所有利用途径

使用受信任的设备列表是一个简单的方法,企业可以向谁授予更高的特权,而又不会由于恶意攻击者而导致特权升级或潜在的信息泄露情况的风险。推荐仅将属于重要职员的设备添加到列表中,因此除了查看信息等基本功能外,还可以将文件访问和传输权限授予受信任的设备。这样一来,授权用户就可以检索执行其专业工作所需的数据,而不会遇到过多的流程障碍。另外,由于这些设备是经过仔细选择并经过验证的,属于受信任的员工,因此IT管理员可以放心,几乎不存在通过内部攻击造成数据泄露事件的可能性。

维护受信任设备列表的重要性

许多企业本着维护员工工作自由的精神,通常不对外围设备的使用作出规定。这是因为这些设备应用于许多方面,例如可以方便地将多媒体和其他文件传输到各种其他计算机。但是,在具有这一优势的同时,公司也可能会忽略使用这些外围设备(如入侵者注入的恶意软件或数据泄漏)可能造成的致命网络安全风险。

那么,IT管理员如何能在保留员工使用外围设备的优势的同时,确保所有相关的网络威胁都被完全消除,一个简单而有效的解决方案是整理受信任设备的列表。

Device Control Plus是一个全面的数据丢失防护解决方案,可帮助IT 管理员控制、阻止和监视USB及外围设备未经授权的访问敏感数据。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/544186.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

嵌入式软件测试笔记1 | 简单说明 嵌入式系统认识和测试目标

1 | 简单说明 & 嵌入式系统认识和测试目标 1 为什么看这个?2 一些说明3 主要内容是什么?4 嵌入式系统测试的目标4.1 测试的任务4.2 最终目标4.3 测试过程4.4 通用元素 5 嵌入式系统的一些基础 1 为什么看这个? 一直在间断性的学习和了解…

chatgpt赋能Python-python3_6怎么调整字体大小

Python3.6 是一种广泛使用的编程语言,可以帮助人们创建各种各样的应用程序。不过,当我们在使用 Python3.6 编写程序时,有时会遇到一些困难,比如如何调整字体大小。那么,今天我们就来看看如何应对这个问题。 如何在 Py…

(十二)centos7案例实战——swap虚拟内存配置

前言 在实际生产环境中,我们的服务器由于内存配置资源有限,会遇到一些线上服务宕机或者内存溢出等问题,那么如何解决这些问题呢,一方面我们要确认问题的具体原因,通过排查自身应用服务的问题,一方面增加我…

Linux 之 supervisor安装和使用

Supervisor 官网 一、介绍 Supervisor有四个组件: 1. supervisord 运行Supervisor的后台服务,它用来启动和管理那些你需要Supervisor管理的子进程,响应客户端发来的请求,重启意外退出的子进程,将子进程的stdout和s…

Bean的自动装配

目录结构 导入pom.xml依赖包 <dependencies><!-- https://mvnrepository.com/artifact/org.springframework/spring-webmvc --><dependency><groupId>org.springframework</groupId><artifactId>spring-webmvc</artifactId><vers…

工赋开发者社区 | Gartner发布2023年十大数据和分析趋势

来源&#xff1a;Gartner Gartner&#xff08;技术研究和分析机构&#xff09;近日公布了2023年十大数据和分析&#xff08;D&A&#xff09;趋势&#xff0c;可帮助企业领导者通过预测变化将不确定性转化为新的商机。 正文开始 Gartner在Gartner数据与分析峰会上介绍了企…

诞生两年,这个产品便成为腾讯安全的“秘密武器”

腾讯既是企业服务产品的服务商又是使用者&#xff0c;很多产品最原始的出发点最早只是为了解决腾讯自身某一个需求&#xff0c;经过不断地发展完善和业务场景锤炼&#xff0c;最终从进化成一个成熟的企服产品。本系列文章讲述的是这样一组Made in Tencent故事&#xff0c;这是系…

2023年 - 我们遇到的那些面试题 (1) - 面试技巧和功能测试篇

前言 最近收到了很多粉丝反馈的面试题 。。 有主观题 &#xff0c;有功能测试题&#xff0c;有python编程题 &#xff0c;有自动化测试题&#xff0c;有数据库题&#xff0c;linux等。。 本文作为《测试面试宝典》内容&#xff0c;将面试题以及部分参考答案开放出来。。 1、…

只要做好这布成为测试经理不是梦!

之前说了太多的测试技术和测试用例设计方法&#xff0c;猛地发现有点“偏科“了。今天我们放松一些&#xff0c;泡一杯茶&#xff0c;一起来聊一聊测试策略吧。 当然&#xff0c;文章脉络肯定是咱们老三样&#xff1a;什么是测试策略&#xff0c;为什么要制定测试策略&#xf…

3年测试经验,跳进腾讯,3面终获20K的Offer...

前言 时间过得飞快&#xff0c;一代又一代就这么成长了起来&#xff0c;曾经的95后备受争议&#xff0c;如今的95后进入社会&#xff0c;扮演者各行角色&#xff0c;成为了行业顶梁柱&#xff0c;今天&#xff0c;要分享的是自己的成长经历。今年24岁&#xff0c;毕业之后进入…

5th-Generation Mobile Communication Technology(六)

目录 一、5G/NR 1、 快速参考&#xff08;Quick Reference&#xff09; 2、5G Success 3、5G Challenges 4、Qualcomm Videos 二、PHY and Protocol 1、Frame Structure 2、Numerology 3、Waveform 4、Frequency Band 5、BWP 6、Synchronization 7、Beam Management 8、CSI Fra…

UE4 监听游戏窗口最小化事件

UE4 监听游戏窗口最小化事件 结论&#xff1a; 先说结论&#xff1a;Windows相关事件在UE4中引擎部分也会处理&#xff0c;包括窗口创建&#xff0c;销毁&#xff0c;最大化最小化&#xff0c;窗口尺寸改变等。通常&#xff0c;每个事件与Windows一样都是WM_***的样子表示&…

静态程序分析学习心得 tai-e

0x00 前言 经过将近2个月的时间&#xff0c;看完了b站上南大的静态程序分析课程&#xff0c;并且完成了其oj上的作业&#xff0c;在这里记录一下在做题过程中&#xff0c;遇到的一些坑点&#xff0c;文章不会贴源码&#xff0c;只记录一下思路&#xff0c;因此大家可以放心阅读…

aac怎么转化为mp3?4个超简易转换方法推荐给大家!

aac怎么转化为mp3&#xff1f;音乐是人类灵魂的表达&#xff0c;只有懂得欣赏音乐的人才能领略到生活的美好与价值。除了运动、看电影等&#xff0c;聆听音乐也是小伙伴们调剂生活的一个好方式。很多小伙伴都有在网上下载音乐的习惯&#xff0c;通过我们也都知道音乐的格式种类…

Linux系统编程——多线程[下]:生产消费模型信号量线程池

0.关注博主有更多知识 操作系统入门知识合集 目录 1.生产者消费者模型 1.1基于阻塞队列的生产者消费者模型 1.2生产消费模型的效率问题 2.信号量 2.1信号量 2.2基于环形队列的生产者消费者模型 2.3环形队列的生产消费模型的效率问题 3.线程池 3.1线程池的实现 1.生…

javaIO流之转换流

目录 简介一、编码和解码二、字符集2.1ASCII 字符集2.2Unicode 字符集2.3GBK 字符集 三、乱码四、InputStreamReader4.1构造方法4.2解决编码问题 五、OutputStreamWriter六、小结 简介 转换流可以将一个字节流包装成字符流&#xff0c;或者将一个字符流包装成字节流。这种转换…

Ajax、Promise、Axios前端三剑客

文章目录 &#x1f433;前言关系二维表&#xff1a; &#x1f433;Ajax定义&#xff1a;特点&#xff1a;&#x1f421;核心对象XMLHttpRequest&#xff1a;XMLHttpRequest对象的五种状态&#xff1a; 使用&#xff1a;1.Jquery的ajax&#xff1a;2.Vue的ajax&#xff1a; &…

【C#】GridControl增加选择列(不用二次点击)

系列文章 【C#】单号生成器&#xff08;编号规则、固定字符、流水号、产生业务单号&#xff09; 本文链接&#xff1a;https://blog.csdn.net/youcheng_ge/article/details/129129787 【C#】日期范围生成器&#xff08;开始日期、结束日期&#xff09; 本文链接&#xff1a;h…

【FMC156】基于VITA57.1标准的2路2.5GSPS采样率16位分辨率直流耦合DA播放FMC子卡模块(DAC38J82)

产品概述 FMC156 是一款基于VITA57.1 标准规范&#xff0c;实现2 路2.5GSPS 采样率16 位分辨率直流耦合DAC 播放子卡模块。该模块遵循VITA57.1 标准&#xff0c;可直接与FPGA 载卡配合使用&#xff0c;板卡DAC 器件采用TI 公司的DAC38J82 芯片&#xff0c;该芯片提供4 个模拟输…

2023,有哪些适合网工跳槽的好公司?(不是BAT)

大家好啊&#xff0c;我的网工朋友 都说行业内卷&#xff0c;卷的不成人形&#xff0c;这内卷&#xff0c;一卷就卷了好几年。 很多网工同行都讨厌被卷来卷去&#xff0c;但是看到同行进了大厂&#xff0c;免不了还是要羡慕嫉妒恨一波。 作为主编几年&#xff0c;我就发现了…