从零到英雄:零信任安全如何拯救你的网络

Laurent Bouchoucha

2021年12月6日

适用于公司和组织, 零信任是确保计算机硬件和连接设备安全的最佳选择, 以及对员工的保护.

零信任并不是一个新概念. Sin embargo, 大流行和向更加数字化的社会转型凸显了以前未被关注的问题, 是什么让零信任安全成为热门话题.

现在连接到物联网(IoT)的设备比以往任何时候都多. 这些设备旨在提供单一的服务和, por desgracia, 安全不是设备的首要任务. 缺乏内置安全性使得物联网设备容易受到攻击, 除了创造一条通往整个组织网络的潜在路径.

随着企业开始数字化转型之旅, 您的网络基础设施必须是安全的. 网络的分割, 零信任安全原则, 允许防止攻击. 一旦接到承诺的通知, 它可以降低攻击的可能性，限制网络中的横向移动, 不影响其他连接的系统.

零信任的一瞥

在it和商业环境中, 根据现有的信任程度，网络分割有两种方法. 传统上, 信任的边界是物理的和隐含的, 所以计算机网络是由防火墙保护的. 这意味着，很简单，里面的东西是受保护的，不受外面的影响。. Sin embargo, 这种方法必须随着威胁风险的增加而演变.

在零信任的世界里, 信任是动态的、适应性强的，不再是预设的, 即使在网络内也不行. 指导原则是“永远不要相信”, 总是检查”, 这意味着要像系统中已经存在攻击者一样行事. 考虑到这一原则, 第一步是网络访问控制(NAC), 对象的识别和连接用户的身份验证. 基于这些因素, 建立防火墙宏分割来过滤不同类型对象和用户之间的流量. 例如，它可以隔离监控摄像头和建筑管理传感器. A continuación, 基于身份认同, 段内的第二级过滤允许微调和实现微分割. 在第二步中, 其目的是防止监控摄像头在同一网络段内相互通信.

为什么零信任在今天如此重要

在过去的18个月里，网络攻击有所增加, 公司的成本是巨大的. 此外，黑客进行越来越复杂和恶意的攻击. 因为零信任要求在允许访问网络之前对每个设备和用户进行身份识别和认证, 有可能包含, 甚至避免, los ataques. 这是由于网络分割, 限制访问范围，减少攻击的传播.

宏观分割和微观分割的巧妙结合, 零信任方法在每个用户和对象周围提供了一个受限制的、可移动的安全边界. 组织管理网络访问控制, 定义授权(例如, 通过工作访问)，并能够安全和遏制威胁, 因为网络不断寻找不适当或可疑的行为.

新的网络功能允许零信任, 是什么按比例提高了对广泛而复杂的网络攻击的防御水平.

建立零信任网络的五个步骤

虽然从一开始就很容易建立一个安全的零信任网络(例如, 新设施, 新结构), sin embargo, 大多数公司已经有了一个现有的网络. 这些组织面临的挑战是协调方法以满足组织的需求, 同时保护它免受攻击. 以下是实现零信任的五个步骤:

1. Supervisar: 识别所有设备, periféricos, 连接的设备和认证所有访问网络的人. 创建一个对象清单并自动填充.

2. Validar: 控制所有连接的设备，并使那些不适合活动的设备失效, 因为它们增加了攻击的可能性. 应用最小特权原则，授予执行任务所需的最小权限. 如果网络识别出不合格的设备, 有必要制定一项恢复或修复计划.

3. Planear: 了解所有用户团队, 以及您的工作流和生成的流量，将这些数据转换为安全策略，智能地结合了宏观分割(输入/输出控制)和微分割(详细的安全规则).

4. Simular: 并行应用id, “fail open”模式下的认证和安全策略:所有计算机都将被授权，网络行为将被记录和索引, 为了建立授权方案和适应的网络安全策略. 这一关键步骤将完善安全策略，同时确保正常活动不受影响.

5. Aplicar: 在最后一步中，“fail open”变成“fail close”:不再容忍身份验证失败, 拒绝所有未引用的用户或设备，并停止所有非法流. 网络监控立即验证所有设备都已识别, 用户经过身份验证以获得网络授权，或者在执行安全检查时可能处于“隔离”状态.

简单地说

零信任方法使识别流量成为可能, 自动存储对象在库存, 为网络创建计划标准，并根据标准共享用户和物联网配置文件. 它还允许确定来自中央IDS或交换机的DoS攻击, 并可选择在受限和动态范围内对可疑流进行隔离.

零信任在整个网络基础设施中提供一致的身份验证策略和安全策略, 实现符合用户需求和连接技术. 宏观分割和微观分割的巧妙结合, 在不符合安全规定的情况下进行隔离, 确保您的网络基础设施的最高安全级别. 在一个日益动荡的世界里, incierto, 复杂而模糊, 零信任方法是您确保网络和业务资产安全的最佳选择.