今天的威胁景观包括熟练,有组织和资助的坏行动者。他们有很多目标,包括用于政治或经济动机的抗溃敏感数据。为了打击这些多种威胁,网络安全市场必须以更大的速度扩展。
如果他们希望保持在网络威胁,IT领导者必须发展他们的安全框架。我们目睹的安全的演变具有朝向零信任模型和软件定义的周长(SDP)的倾斜,也称为“黑云”。其设计原理基于需要 - 了解模型。
该零信任模型表示,必须认证尝试访问资源的人并首先授权。用户无法连接到任何内容,因为未经授权的资源是不可见的,留在黑暗中。为了额外保护,零信任模型可以与机器学习(ML)组合以发现危险的用户行为。此外,它可以应用于条件访问。
从本质上讲,零信任一对一分段确保最小特权访问并将攻击表面减少到绝对最小值。它可以防止网络内的任何横向移动,从而消除了许多知名的基于网络的攻击,包括服务器扫描,拒绝服务,SQL注入,操作系统,应用程序漏洞利用以及中间人来命名。一对一的分割不仅仅是IP地址的IP地址,还不仅仅是服务(端口)和应用程序。
横向运动是一种常见的技术,恶作剧用于在段之间导航或在段内的延伸,以损害有价值的资产。他们小心翼翼地移动,如果不是几年,通常会被忽视几个月。黑客将发现,身份,然后在网络上定位设备。通常,黑客将瞄准并轻松损害设备(未修补的服务器),然后使能够更有价值的资产。虽然可以安全地保护服务器的“前门”,但存在许多后门,也必须在管理,记录和其他流量使用方面获得。
当我们检查过去时,我们发现我们在与安全相关的思想的演变中取得了重大步骤。例如,我们已从单因素身份验证转移到双因素身份验证,现在以多因素身份验证。我们还从非加密流量移动到动作中加密流量,这导致高百分比的应用程序是加密的传输层安全性(TLS)。
零信任是下一个大型大型梅格坦,使我们能够防御内部和外部网络犯罪分子。技术市场稳步出现。如果您检查先前的安全架构,您可以说我们没有选择,但到达这里。业务目标必须符合安全解决方案,只是因为你有锤子,并不意味着一切都是指甲。这是一种常见的假设,许多违规具有内部向量,其中用户或恶意软件能够实现外部演员以获得访问。
以前的过时的架构
具有网络准入控制(NAC)和虚拟专用网络(VPN)的传统架构铺设了外界世界是邪恶的假设,内部是好的;没有威胁。
现实情况是,具有恶意组件的成功攻击的快速增加,无论是内部还是已经受到损害的设备。因此,我们不再拥有可信赖的网络和明确的分界点。它非常不幸和悲伤地说,网络内的用户不比网络外的用户不值得信赖。
周边仍然存在于过去的流体。传统建筑的前提是拥有固定的周边。周边只会变得更加流畅,不仅仅是在引入新技术,而且随着新的商业模式的进步,例如对各种供应商拥有许多API。业务的划分地点及其解决方案已成为比过去的困难。
零信任是现实,而不仅仅是一个PowerPoint演示文稿。SDP等真正的产品,这是一个工作组和拟议架构,为市场带来零信任。
软件定义的周长(SDP)
集团SDP正在推动零信任安全性。他们的目标是开发一个解决方案,以防止网络攻击对应用程序。最初,它是在2007年全球信息网格(GIG)黑核心网络倡议下的国防信息系统机构(DISA)进行的工作。
它们的初始概念依赖于覆盖网络和软件客户端,而不是与底层IP网络基本集成身份和访问管理(IAM)。但是,他们提倡在零信任模型中使用的大量原则。
商业产品包括许多组件这样的SDP客户端,控制器和网关。
SDP客户端处理广泛的功能,可根据验证设备和用户标识到路由到布线本地应用程序,以授权受保护的远程应用程序。它实时配置以确保基于证书的相互TLS VPN连接到用户已授权的服务。
SDP控制器用作客户端和后端安全控件之间的信任代理。控制器携带证书颁发机构(CA)和身份提供程序(IP)携带函数。客户端验证后,控制器设置均;SDP客户端和网关实时建立相互TLS连接。
控制器上的终端类似于语音网络上信令的概念。今天在电话网络中,最初我们收到了信号,并在允许媒体通过之前设置了呼叫。
这相当于具有会话发起协议(SIP)和传输控制协议(TCP)会话。我们执行信令以确保我们经过身份验证和授权。只有我们允许与远端通信。
然后我们有SDP网关。建议将SDP网关拓扑地部署在拓扑上,更接近受保护的应用程序。
组合在一起时,SDP架构提供了许多值的安全性属性:
- 信息隐藏:使用VPN,使用VPN服务器的DNS名称,但使用SDP,您永远不会看到端点的DNS名称,因为SDP控制器位于中间,充当隧道代理。
- 无障碍:无法访问受保护应用程序的DNS信息或可见端口。基本上,SDP保护资产被认为是“黑暗”,这意味着它们无法检测到。
- 预认证:SDP预先验证并验证连接。在授予连接之前验证设备标识。这可以通过嵌入在TCP或TLS连接中的MFA令牌来确定。
- 预授权:用户仅授予访问适合于其角色的应用程序,同时与策略分配同步。
- 应用层访问:这是用户和资源之间的一对一连接。用户仅在应用程序层授予访问,而不是下面的整个网络。
- 可扩展性:SDP由已验证的基于标准的组件构建,例如相互TLS,SAML和X.509证书。基于标准的技术可确保与其他安全系统(例如数据加密)的集成。
对于零信任,其他真实用例的销售分割点的形式并授予对网络基础架构的第三方访问。
用例:销售点分割
由于其开放系统互连模型(OSI)第2层依赖关系,今天的网络分割技术受到限制。VXLAN是数据中心内的分段选择。雷竞技电脑网站因此,虚拟LAN(VLAN)在广域网(WAN)上处于办公室和虚拟路由和转发(VRF)。然而,这些层2和3分割机制的问题是它们仅使用媒体访问控制地址(MAC)或IP地址,而不是用于决策制定的智能变量。
今天的问题是,例如,VLAN分段是您只有向下段到特定设备。但是,如果您有支付卡行业(PCI)服务器,则可能希望将PCI流量与其他流量,示例目录或Office 356分开,从根本上允许您在服务/应用程序级别的设备内未来的段流量。
ZT是用户设备和服务/应用程序的一对一分段。它选择一个设备,并执行服务的一对一映射,而不是应用程序。它不仅可以基于设备MAC或IP地址段的网络流量,而且还能够基于用户服务和应用程序进行分段流量。
用例:第三方访问
例如,假设我们有第三方对组织进行技术支持。银行可能拥有Oracle数据库运行的密钥应用程序,它们遇到了麻烦。因此,需要外部伙伴来访问情况。你如何以外部支持成员在数据中心看到或做任何其他事情的方式执行此操作?雷竞技电脑网站
使用零信任模型,该人可以使用特定MFA和特定故障单位的特定时间访问该服务器。因此,如果他们在4小时内回来,他们就没有获得访问权限。
与当今共同的第三方访问相比,这与今天相比。一旦您对LAN访问了VPN访问,您就可以看到并转到其他所有内容。零信任允许您使用特定源端口和IP地址的一个IP地址和端口号隔离到一个特定服务器。
此外,还有许多其他变量可以考虑。零信任是一种动态而不是静态的多变量。它为用户提供了一次性访问所请求的应用程序,而所有其他资源都在不授予对整个网络的访问。
谷歌的超越项目
谷歌的外贸计划正在迁移到销售特权企业网络的模型。相反,无论用户的网络位置如何,访问都仅取决于设备和用户凭据。
所有对企业资源的访问都完全认证,授权和
基于设备状态和用户凭据加密。因此,所有员工都可以从任何网络工作,而无需传统的VPN连接。
迁移到零信任有三个主要好处。首先是消除公共和专用网络边界,并处理具有相同零信任策略的所有私人和公共IP网络。这是我们今天生活的世界,因此,我们需要相应行动。
第二个是从底层IP网络的安全解耦,并将OSI层5智能添加到网络的非常边缘。这种架构是朝着战斗网络犯罪分子的正确方向的移动。但是,它要求我们重新思考我们今天如何实施安全性。就像NG-Firewalls一样移动堆栈,类似地,下一代路由器需要这样做。
实际上,VPN在时尚中没有更长时间。用户不希望花时间设置它们,而且,安全管理员正在转移到零信任模型。例如,谷歌促进了所有员工,可以在任何地方从任何地方工作,而无需VPN。它们已经使这种可访问性功能到位了几年,并且在确保高度的安全性时,它一直非常成功,同时赋予用户从任何地方工作。