來源:計算機世界
“零信任”概念沒有統一定義難理解?NIST(美國國家標準與技術研究院)梳理了7大“零信任”原則,幫助使用者更好的保護網路安全。
近年來,坊間不乏有關零信任的定義,你一定聽到過諸如原則、支柱、基本原理和宗旨之類的術語。雖然對零信任還沒有一個統一的定義,但是業界對於一個概念有共同的理解還是很有必要的。為此,NIST(美國國家標準與技術研究院)釋出了NIST SP 800-207零信任架構,描述了以下關於零信任的七大原則:
01 所有資料來源和計算服務都被視為資源
僅將終端使用者裝置或伺服器視為資源的時代早已過去了。今天的網路包括一系列層出不窮的裝置,從伺服器和端點裝置等傳統裝置,到FaaS(函式即服務)等更動態的雲計算服務,不一而足,它們可能需要對你環境中的其他資源擁有特定的訪問許可權才能執行。
對於你環境中的所有資料和計算資源而言,除了最低許可權訪問控制措施外,你還必須確保已經實施了基本的驗證控制措施,必要時還要實施高階的驗證控制措施。與後幾條原則密切相關的是,所有這些資源在某種程度上相互關聯,可以提供訊號上下文,以幫助推動零信任中的架構元件做出決策,這將在第七個原則中進行討論。
02 無論網路位置如何,所有通訊都是安全的
零信任環境中落實了ZTNA(零信任網路訪問)這個概念。這與傳統的遠端訪問模式形成了對比;在傳統的遠端訪問模式中,使用者完成身份驗證連線至VPN,然後在網路內/網路上可以不受限制地訪問。
在ZTNA環境中,訪問策略是預設拒絕訪問,必須對特定資源授予明確的訪問權。此外,在ZTNA環境中操作的使用者如果沒有明確的訪問授權,甚至不會意識到環境中存在的應用程式和服務。你很難把注意力轉移到你不知道存在的東西上。
如今,地理位置分散的員工們因為新冠肺炎疫情而更加分散,這使得第二條原則對企業來說更重要,現在企業中有很大一部分勞動力要從許多不同的地方和裝置訪問內部資源。
03 基於每個會話授予訪問單個企業資源的許可權
“就像季節一樣,人也在變化”。這句話對於數字化身份來說更是如此。面對具有動態性的分散式計算環境、雲原生架構以及不斷暴露在一連串威脅面前的分散式員工隊伍,信任應該僅限於單一會話。
你在前一次會話中信任一個裝置或身份,並不意味著你在後面的會話中能繼續信任他們。每次會話都需要同樣嚴謹地確定裝置和身份對你的環境構成的威脅。與使用者相關的異常行為或裝置安全態勢方面的變化都可能會發生,應該與每個會話結合起來,以決定訪問和訪問程度。
04 對資源的訪問取決於動態策略(包括客戶身份、應用程式/服務和所請求資產的可觀察狀態),可能包括其他行為屬性和環境屬性
現代計算環境很複雜,遠遠超出了企業的傳統邊界。應對這種現狀的方法之一是,利用所謂的“訊號”,在你的環境中做出訪問控制決策。
直觀顯示訊號的一種方法是藉助微軟的Conditional Access(條件訪問)圖。訪問和授權決策應該考慮到訊號,訊號可以是諸如此類的資訊:使用者及位置、裝置及相關的安全態勢、實時風險以及應用程式上下文。這些訊號應支援決策過程,比如授予全面訪問、有限訪問或根本不允許訪問。你還可以根據訊號採取額外的措施,以請求更高級別的驗證保證,比如MFA(多因子驗證),並根據這些訊號限制授予的訪問級別。
預告
想了解關於零信任的更多原則?請持續關注“計算機世界”的乾貨分享!
本文來自【計算機世界】,僅代表作者觀點。全國黨媒資訊公共平臺提供資訊釋出傳播服務。
ID:jrtt
![兩融餘額創新高意味著什麼?"雙刃劍"怎麼用?](http://i.kkannews.com/thumb/280x220/2/5a/25a3191d7466ddc83b51ca6bc875e835.jpg "兩融餘額創新高意味著什麼?"雙刃劍"怎麼用?")
