有這樣一句俗語:“不要和我談信賴�����,傷感情����。”在很多情況下,信賴其實(shí)是沒有意義的�����,必須通過制度來確定責(zé)任范圍,在網(wǎng)絡(luò)安全方面更是如此��。“我相信網(wǎng)絡(luò)沒有安全問題”在切實(shí)的網(wǎng)絡(luò)安全威脅面前蒼白無力��,網(wǎng)絡(luò)安全要構(gòu)建“零信任”環(huán)境����,永遠(yuǎn)要進(jìn)行驗(yàn)證。具體如何構(gòu)建呢��?主要從這五個方面入手����。
(網(wǎng)絡(luò)安全)
1.界定保護(hù)表面范圍。
零信任環(huán)境下�����,企業(yè)不會專注于攻擊表面��,而只會專注于保護(hù)表面��,專注于對公司最有價值的關(guān)鍵數(shù)據(jù)�����、應(yīng)用程序��、資產(chǎn)和服務(wù)(DAAS)�����。保護(hù)表面比如��,信用卡信息�����,受保護(hù)的健康信息(PHI)����,個人身份信息(PII),知識產(chǎn)權(quán)(IP)�����,應(yīng)用程序(現(xiàn)成的或定制的軟件);SCADA控件��,銷售點(diǎn)終端��,醫(yī)療設(shè)備,制造資產(chǎn)和IoT設(shè)備等資產(chǎn)以及DNS�����,DHCP和Active Directory等服務(wù)�����。
一旦界定保護(hù)面后�����,可以將控件盡可能地移近它�����,附上限制性的�����、精確的和可理解的策略聲明����,以此創(chuàng)建一個微邊界(或分隔的微邊界)。
2.記錄事務(wù)流量�����。
流量在網(wǎng)絡(luò)中的傳輸方式?jīng)Q定了它的保護(hù)方式�����。因此�����,獲得有關(guān)DAAS相互依賴關(guān)系的上下文信息十分重要�����。記錄特定資源的交互方式有助于適當(dāng)?shù)丶訌?qiáng)控制并提供有價值的上下文信息�����,確保最佳的網(wǎng)絡(luò)安全環(huán)境����,同時對用戶和業(yè)務(wù)運(yùn)營的干擾降到最低。
3.構(gòu)建零信任IT網(wǎng)絡(luò)����。
零信任網(wǎng)絡(luò)完全可以自定義����,而不僅是一個通用的設(shè)計(jì)��。而且該體系結(jié)構(gòu)主要圍繞保護(hù)表面構(gòu)建��。一旦定義了保護(hù)表面并根據(jù)業(yè)務(wù)需求記錄了流程��,就可以從下一代防火墻開始制定零信任架構(gòu)��。下一代防火墻充當(dāng)分段網(wǎng)關(guān)����,在保護(hù)表面周圍創(chuàng)建一個微邊界。對任何嘗試訪問保護(hù)表面內(nèi)的對象使用分段網(wǎng)關(guān)��,可以強(qiáng)制執(zhí)行附加的檢查和訪問控制層��,一直到第七層����。
4.創(chuàng)建零信任安全策略。
構(gòu)建網(wǎng)絡(luò)后�����,將需要創(chuàng)建零信任策略來確定訪問流程。訪問用戶對象����、訪問的應(yīng)用程序��、訪問原因����、傾向的這些應(yīng)用程序連接方式以及可以使用哪些控件來保護(hù)該訪問,這些問題都要提前了解�����。使用這種精細(xì)的策略實(shí)施級別�����,可以確保僅允許已知的流量或合法的應(yīng)用程序連接����。
5.監(jiān)視和維護(hù)網(wǎng)絡(luò)。
這最后一步��,包括檢查內(nèi)部和外部的所有日志����,并側(cè)重于零信任的操作方面�����。由于零信任是一個反復(fù)的過程����,因此檢查和記錄所有流量將大大有益��,可提供寶貴的參考�����,以了解如何隨著時間的推移改進(jìn)網(wǎng)絡(luò)����。
關(guān)于炫億時代
北京炫億時代科技有限公司(以下簡稱炫億時代)成立于2010年,是一家集IT網(wǎng)絡(luò)產(chǎn)品分銷��、IT系統(tǒng)集成�����、應(yīng)用軟件開發(fā)與IT服務(wù)為一體的高科技企業(yè)��。自成立至今,炫億時代專注于為廣大中小微企業(yè)用戶提供幫助其實(shí)現(xiàn)信息化�����、智能化����、數(shù)字化的IT綜合解決方案和一站式IT服務(wù)����,搭建綜合性服務(wù)平臺,滿足客戶不同階段�����、不同業(yè)務(wù)��、不同場景的發(fā)展需求����。
企業(yè)通訊
