趋势分析 | 零信任实践之关键技术解读

news2024/12/23 10:29:33

SmartX 趋势分享
SmartX 趋势分享由 SmartX 团队内部分享的权威机构市场报告、全球重要媒体文章精选整理而成。内容涉及现代数据中心相关产业趋势以及金融、医疗、制造等行业全球用户需求与实践前沿洞察。本期,我们分享一篇 Gartner 关于零信任实践策略的文章[1],帮助企业选择合适的技术与方案,提升网络安全水平。

安全和风险管理领导者必须要跳脱出厂商关于“零信任”的大肆宣传,通过实施两项关键技术,以最低权限访问和自适应安全降低风险

Gartner 客户调查结果显示,大多数企业都处于零信任策略制定阶段。然而,供应商进行市场营销时经常过度宣传“零信任”这一概念,并将其简化为“新的和改进的”安全策略。许多安全领导者也将零信任视为网络安全的灵丹妙药。但零信任并没有涵盖网络钓鱼和敏感数据保护等威胁和安全问题的处理。同时由于传统应用、企业阻力、管理细粒度安全控制的复杂性和其他因素等限制,零信任的安全态势可能永远无法得到完全的实现。

然而,“零信任”这一概念作为一种网络安全的范式简化具有重要意义,即要求所有计算基础设施都要移除隐形信任,由显式计算和实时自适应的信任级别取而代之,以便在恰好的时间对企业资源进行恰量的访问。

对于想要真正实现零信任的企业,我们建议企业关注两个主要的技术项目(参见图 1)。

 图 1

由于传统网络安全模型存在过多的隐性信任,大多数零信任策略始于与网络相关的项目计划。零信任网络项目计划实施可分为两个领域:

  1. 聚焦于“用户到应用”分段的前端网络访问(ZTNA – Zero Trust Network Access
  2. 聚焦于“工作负载到工作负载”分段的后端网络访问(基于身份的分段 / Identity-Based Segmentation

不过在启动这些项目之前,企业必须先建立好切实的身份管理基础。

联合身份系统(Federated Identity Systems)

零信任需要安全、通用的联合身份管理系统。对于大型组织而言,用户和机器身份不太可能只有单一可信源。安全和风险管理领导者应当:

  • 记录现有联合关系。
  • 确定用户身份的可信源,包括第三方身份的来源。
  • 制定并定义需要更强身份验证(MFA、CAC 卡、PIN 等)的策略。
  • 开发标准化方法(例如证书),确定给定设备是托管设备还是非托管设备。
  • 对于工作负载,定义如何建立机器和应用身份。
  • 构建用于规模化容器和 Kubernetes 环境中的机器身份管理方法。

自适应访问控制(Adaptive Access Controls)

自适应访问将设备安全状态和位置等环境因素纳入考量,以实现更精细的资源访问控制。安全和风险管理领导者应当:

  • 要求所有远程访问和 SaaS 应用访问都需要更强的身份验证。
  • 强制所有 SaaS 应用,例如云 SSO(Single Sign On)或 CASB(Cloud Access Security Broker),执行基于环境的身份准入。
  • 将设备安全状态评估纳入访问控制决策中。
  • 将自适应访问控制与联合身份系统集成部署,以控制本地和云中的访问。

落实身份管理系统并具备足够的基础后,企业需关注到以下技术项目和关键问题:

“用户到应用”间的分段(ZTNA)

ZTNA 减少了员工、承包商和其他第三方对主要从远程位置访问资源的过度隐性信任。企业应先进行 ZTNA 产品试点,先针对承包商和第三方进行 ZTNA 试运行,然后进行概念验证(POC),用 ZTNA 产品测试应用,并使用观察模式学习用户和角色的访问模式,在此过程中构建访问规则。

安全和风险管理领导者应当:

  • 盘点允许访问网络的所有 VPN 实例,并按一定周期更新准入列表。
  • 确定 DMZ 中具有指定用户组的应用和服务器,并按一定周期更新准入列表。
  • 使非托管设备的访问成为 ZTNA 架构的强制执行部分。
  • 测试 ZTNA 解决方案与传统应用的兼容性。
  • 定义用于组合用户属性和服务的访问规则,强制规定哪些访问者可以访问哪些对象。
  • 确定是否需要本地规则管理和规则控制器。

“工作负载到工作负载”间的分段(基于身份的分段)

通过允许企业将单个工作负载设置为在通信时采用默认的拒绝模型(而非隐式的允许模型),基于身份的分段减少了过度的隐性信任

企业应先对 campus 和服务器网络实施更概要的网络分段,以减少过多的信任区。与 ZTNA 一样,为了制定规则,观察模式对于了解工作负载和应用间的通信模式是必要的。然后,企业应针对工作负载的机器身份管理技术(如 SPIFFE, OpenID Connect 和 SAML 等)进行评估,以支持细粒度分段。当开始实施基于身份的分段策略时,先从一小部分关键资产开始进行尝试,然后再扩展到其他资产。

安全和风险管理领导者应当:

  • 制定策略,共同管理本地部署、混合部署、虚拟化和容器等环境中的异构工作负载。
  • 确定需要使用代理以外的方式(如基于网络或基于 API 编排)进行分段的工作负载。

[1]文章来源:What Are Practical Projects for Implementing Zero Trust?,Neil MacDonald,Gartner,2022.

点击下载网络与安全白皮书,了解 SMTX OS 如何通过微分段(基于身份的分段)构建零信任安全。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/77909.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[附源码]JAVA毕业设计校园快递联盟系统(系统+LW)

[附源码]JAVA毕业设计校园快递联盟系统(系统LW) 项目运行 环境项配置: Jdk1.8 Tomcat8.5 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术…

【大数据入门核心技术-Azkaban】(二)Azkaban核心架构

目录 一、核心架构 1、Relational Database(Mysql) 2、Azkaban Web Server 3、Azkaban Executor Server 二、三种运行模式 1、solo server mode 2、two server mode 3、multiple executor mode 一、核心架构 Azkaban架构由三部分构成: 1、Relational Databa…

【chatGPT免注册】openAI机器人直接访问,不需要注册的方法

最近,chat GPT可谓是火出圈了。但是这个服务在国内不可用,网上你能找到的教程无非是注册一个虚拟的手机号去接受短信,可就算你能注册成功,还是无法访问。 还有人说可以去某宝买一个账号,这是可以的,账号的确…

安卓玩机搞机技巧综合资源-----干掉手机广告 禁用 冻结 关闭内置软件【八】

接上篇 安卓玩机搞机技巧综合资源------如何提取手机分区 小米机型代码分享等等 【一】 安卓玩机搞机技巧综合资源------开机英文提示解决dm-verity corruption your device is corrupt. 设备内部报错 AB分区等等【二】 安卓玩机搞机技巧综合资源------EROFS分区格式 小米红米…

Java 并发编程(三)之synchronized

带着BAT大厂的面试问题去理解Synchronized 请带着这些问题继续后文,会很大程度上帮助你更好的理解synchronized。 Synchronized可以作用在哪里? 分别通过对象锁和类锁进行举例。Synchronized本质上是通过什么保证线程安全的? 分三个方面回答:加锁和释放…

微信群营销方式微信群建群营销案例

今天我们以小区微信群营销为例,聊一聊具体的步骤和流程: 1、社群的建立,就是如何找到合适的小区,建立小区专属社群?因此,终端在做小区社群营销之前,需要先对当地所有的潜在小区做一个综合性的分析和评估&a…

Github使用

第一步 配置邮箱: ssh-keygen -t rsa -C 283589579qq.com然后一路回车不用管。 如下: 查看生成文件: cd .ssh ls如下: id_rsa是私钥,不能泄露出去,id_rsa.pub是公钥,可以放心地告诉任何人。…

【Java开发】 Spring 10 :Spring Boot 自动配置原理及实现

用了这么久的 SpringBoot ,我们再来回顾一下它,本文介绍 Spring Boot 的自动配置,这是它区别于 Spring 的最大的点,本文的自动配置项目包含三个项目,建议拉取仓库里的代码进行实践:尹煜 / AutoConfigDemo …

kafka之ranger插件的一个坑

之前文章写过kafka的鉴权,以及集成ranger插件的配置使用。但真正在用起来后,发现里面有个坑,本文就来聊聊这个坑的情况以及排查过程。【问题现象】kafka在集成了ranger插件实现鉴权功能后,发现过一段时间后,controller…

Gaussian 计算静电云图确定吸附位点

计算背景: 利用高分子有机物等活性材料对有毒分子、原子、离子在真空、水溶液、有机溶液等环境下吸附,已是当今环境科学、矿物学、土壤化学等学科领域研究的热点。但如何确定最佳吸附位点以计算其吸附能就显得尤为重要。 现阶段多数物质的吸附均依据粒…

Eureka自我保护模式和InstanceID的配置

本节我们主要介绍 Eureka 自我保护模式的开启和关闭和自定义 Eureka 的 InstanceID 的配置。 关闭自我保护 保护模式主要在一组客户端和 Eureka Server 之间存在网络分区场景时使用。一旦进入保护模式,Eureka Server 将会尝试保护其服务的注册表中的信息&#xff…

PMP内容1

PMP目录概述需求:设计思路实现思路分析1.2.确认范围3.控制范围4.进度管理5.规划进度管理成本管理估算成本参考资料和推荐阅读Survive by day and develop by night. talk for import biz , show your perfect code,full busy,skip hardness,make a bette…

Yocto系列讲解[驱动篇]89 - 内核通知事件notifier chain驱动示例

By: fulinux E-mail: fulinux@sina.com Blog: https://blog.csdn.net/fulinus 喜欢的盆友欢迎点赞和订阅! 你的喜欢就是我写作的动力! 目录 内核通知事件知识Yocto中添加recipe第一个驱动模块:notifier chain provider驱动第二个驱动模块:notifier chain customer驱动两个驱…

使用 `laravel-nestedset` 实现动态权限路由

laravel-nestedset 是一款基于嵌套集合模型(Nested Set Model)的用于实现有序树的 laravel 扩展包。 什么是嵌套集合模型? 嵌套集合或嵌套集合模型是一种在关系数据库表中高效存储分层数据的方法,理论基础为预排序遍历树算法&am…

开源SCRM营销平台-MarketGo产品介绍(一)

1、MarketGo概述 MarketGo中国式营销自动化开源项目标杆。 MarketGo更像是一个 SDK 、引擎,通过提供的标准化功能和基础能力,让开发者能快速搭建一个营销自动化系统,快速完成从0-1的过程,并且能基于开放的能力和源码&#xff0c…

【Unity3D】使用GL绘制线段

1 前言 线段渲染器LineRenderer、拖尾TrailRenderer、绘制物体表面三角形网格从不同角度介绍了绘制线段的方法,本文再介绍一种新的绘制线段的方法:使用 GL 绘制线段。 Graphics Library(简称 GL),包含一系列类似 OpenG…

python tk 小案例:制作一个问题搜索器

前言 嗨喽,大家好呀~这里是爱看美女的茜茜呐 又到了学Python时刻~ 在逛百度搜东西的时候,有一些杂乱的词条容易混入进来‘ 那么?我们能不能自己创建一个类似百度的搜索器呢? 当然是可以的,今天博主就来分享一下如何…

Dell电脑搭配Win10休眠 = 黑屏

应该是Dell的硬件和win10操作系统的适配性不行。 Dell黑屏现象 刚买Dell笔记本的时候,就有“黑屏”问题。刚买的一个周、一个月、一年、两年都有这样的问题,而且一个月至少发生一次: 摁了开机键,也开机成功了,电脑就…

Python——旋转字符串

题目描述 给定两个字符串s和goal,如果在若干次旋转操作后s能够变成goal,那么就返回True s的旋转操作就是把s最左面的字符放到最右面 例如: s ‘abcde’ 旋转一次就是‘bceda’ 而如果goal是bceda,那么goal就是s的旋转字符串 P…

[附源码]JAVA毕业设计心理学网站(系统+LW)

[附源码]JAVA毕业设计心理学网站(系统LW) 项目运行 环境项配置: Jdk1.8 Tomcat8.5 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术&#…