虽然企业每年都在参与对网络安保技术、基础设备和服务的支出,但要挟介入者仍在千方百计躲过这些进攻。这关键有两个要素:第一,人为失误:可怜的是,许多用户依然没有仔细看待安保疑问。他们访问不应该访问的网站,点击不应该点击的物品,在不应该输入凭据的中央输入凭据。结果,他们的系统、身份和凭据被攻破,攻打者可以轻松地攻破系统。
第二,对运行程序的攻打:攻打者正在攻打面向互联网的运行程序,并应用他们代码中的失误和破绽。这是由于许多第三方运行程序享有隐式信赖,企业通常不会审核它们的流量。最近的MoVEit黑客攻打就是一个很好的例子,攻打者应用了一个破绽,破坏了1000多个企业的环境,窃取了6000多万人的记载。
城堡和护城河的安保方法曾经过期了
随着越来越多的员工在公司中心上班,并在云中访问数据和SaaS运行,传统的城堡和护城河形式对网络安保不再适用。此外,每个暴露于破绽的企业都有防火墙,因此防火墙并不总是有效的。要挟介入者如今正在加密一切不好的物品,这些加密的流量正在经常使用非法通道(如端口443)间接经过防火墙。解密流量并不总是可行的。传统防火墙通常不足才干或性能来审核传入的渺小云计算流量。出于这些要素,许多专家以为零信赖是答案。
零信赖实施倡导和最佳做法
无理想环球中,假设攻打者出如今您的大楼并出示公司颁发的有效ID,他们将取得对大楼的片面访问权限。他们可以去任何部门,检查任何房间,进入大楼的一切不同区域,而后分开。
零信赖基于任何用户、运行程序或设备都不应被隐式信赖的准则。这象征着,假设攻打者出如今您的修建中,他们的身份将在他们访问的每个房间和部门启动验证,而不只仅是在前门。美国政府如今要求一切政府机构和承包商必需驳回零信赖技术和框架。
钻研标明,虽然90%的企业正在驳回零信赖,但大少数企业在监禁其所有后劲方面存在疑问。这是由于零信赖令人困惑,安保供应商不时在采购它,就像可以买到现成的技术一样。实践上,零信赖更像是一种架构(一种框架),没有什么灵丹妙药。零信赖就是最小化或控制爆炸半径。以下是实施零信赖时应牢记的倡导:
1、经常使用现代方法从新开局实施零信赖
当百视达试图智胜Netflix时,他们将一堆DVD播放器衔接到了云上。这显然没有发生正确的保真度,百视达破产了。从基本上说,他们做出了失误的架构选用。雷同,在零信赖的状况下,关键的是思考技术债务并从头开局构建您的安保。假设企业只是便捷地将安保层放在下面,他们将形成更大的危害,引入更多破绽,并为治理安保发明更多复杂性。
2、经常使用安保云缩小攻打面
永远记住这一点:假设你可以抵达,你就是可以打破的。因此,假设运行程序暴露在互联网上,攻打者很或者会破坏它。因此,运行程序和主机必需一直搁置在安保云之后,以防止此攻打媒介。如今,当攻打者敲你的门时,那是一个总机,而不是门。总机说:“好吧,你想去哪里?我会为你架起衔接的桥梁。我不会将您间接衔接到该运行程序。这是零信赖体系结构的一个关键元素。
3、经常使用分段以防止侧向移动
虽然网络宰割并不新颖,但零信赖激励微宰割。这象征着企业应在粒度级别对网络、上班负载和运前启动细分或分叉。假设攻打者入侵您的环境,微分段有助于限度横向移动,遏制要挟,并限度恶意软件在整个环境中流传。
4、部署细粒度用户访问
人为失误是无法防止的。这就是大少数云入侵和敲诈软件攻打出现的要素。假设攻打者取得对特权用户帐户的访问权限,他们可以应用该帐户窃取敏感信息、使系统脱机、劫持系统或在网络中横向移动并危害其余系统。在一个零信赖的环球里,用户可以访问他们应该访问的物品,但除此之外什么都没有。
被审核的不只仅是一个身份。您必需检查一些高低文参数(访问期间、收回恳求的位置、设备类型等)。要做到这一点,企业必需实施最小特权准则,运行精细权限,并部署既思考身份又思考环境的身份验证机制。
5、一直牢记用户体验
扼杀零信赖名目标最快形式是扰乱用户。假设您正确部署架构,用户体验实践上可以获取优化,这有助于缩小外部摩擦。例如,假设身份验证是无缝的,访问和衔接将更容易;用户将欣然接受零信赖。
违规是无法防止的——仅锁门窗是不够的。企业须要的是一种安保级别,即护送被蒙住眼睛的用户到大楼所在的位置,而后护送他们到他们须要去的房间,而后护送他们分开,同时确保没有任何物品被带走或遗落。但是,假设企业遵照最佳通常并专一于正确的架构和用户体验,他们必需会树立更具弹性的网络安保态势,这是事不宜迟。