什么是云的零信任?
零信任 是一种 IT 安全模式,它消除了信任的概念,以保护网络、应用程序和数据。这与传统的外围安全模式形成了鲜明对比,传统的外围安全模式假定坏的行为者总是在网络不受信任的一侧,而可信的用户总是在受信任的一侧。有了 "零信任",这些假设都将失效,所有用户都被假定为不可信的。
领先的研究和咨询公司 Forrester Research 认为,零信任解决方案必须
通过分段和启用第 7 层策略,确保只允许已知、允许的流量或合法应用通信。
利用最低权限访问策略,严格执行访问控制。
检查并记录所有流量。否则,攻击者进入公司网络可能相当简单。
这些原则在企业网络中实施起来可能很直接,但它们如何应用于云呢?您可以将相同的概念应用到云中,通过安全网关实现安全的最低权限访问。然而,实施网关显然不足以实现云中的零信任。您的实施必须检查所有应用的所有流量,否则就不能真正实现零信任。
企业为何需要在云环境中实现零信任
在企业网络中实施零信任的前提是组织本身要控制网络。它规定了可设置边界的位置,并实施访问控制,以保护本地部署的数据中心等敏感应用程序免遭未经授权的访问和横向移动。
如今,将应用程序托管在云而不是数据中心往往更具成本效益。1 这些云环境由云服务提供商和 SaaS 供应商运营,不属于组织网络的一部分,因此不适用相同类型的网络控制。
因此,大多数公司
应用程序和数据分散在多个地点。
正在失去洞察力:
谁在访问他们的应用程序和数据,甚至使用什么设备来访问(如智能手机、平板电脑、笔记本电脑等),因为他们的大部分资产都在第三方基础设施上。
如何使用和共享数据。
为了解决这些问题,公司通常会根据其资产的位置使用各种接入技术。大多数公司混合使用
地点 |
用于访问的技术 |
本地部署数据中心 |
远程访问 VPN |
私有应用程序(数据中心、混合云) |
软件定义的周边环境 |
公共云 |
入站代理或虚拟防火墙 |
SaaS 应用程序 |
CASB 代理 |
这种技术的混杂造成了一种支离破碎的安全架构,很难确定有哪些策略可以保护云中的任何特定数据。云环境从根本上不同于传统网络,而且持续变化,这意味着公司的安全方法必须既全面又具有适应性。
这就是目前每 10 位网络安全专业人士中就有 9 位关注云安全的原因。他们表示,他们面临的三大挑战是:防止数据丢失和泄漏(67%)、数据隐私受到威胁(61%)和泄密(53%)。他们还在安全控制问题上苦苦挣扎,例如获得基础设施安全的可见性(43%)、合规性(38%)以及在云环境和本地部署之间建立一致的安全策略(35%)2。
因此,要想取得成功,企业必须建立一个单一、统一的安全架构,该架构必须:
让用户安全地访问公司在公共云、SaaS 应用程序和 Private Cloud/数据中心中的应用程序和数据。
控制和限制谁可以接触这些资产,以及如何使用这些资产。
持续检查流量并执行安全策略。
随着组织向云迁移,将 "零信任 "纳入 新云基础设施 的设计非常重要。以下是一些关于如何开始的想法。
如何使用五步方法实施云的零信任
在开始之前,必须明确贵公司 在云中 实施 零信任的目标,以及您所期望的业务成果。
步骤 1:确定贵公司拥有哪些类型的应用程序(如公共、私有、SaaS 等)和数据(如机密、敏感、不重要),它们在哪里,以及谁在访问和使用它们。然后,确定您的保护面:对您的业务最关键的数据、应用程序、资产和服务。
步骤 2:绘制事务流程图(即应用程序的实际运行方式)。
步骤 3:架构新的云基础设施,在用户和应用程序之间建立界限。
步骤 4:根据谁有权访问什么制定公司的零信任政策,并根据最低权限访问原则执行上下文访问控制。教育用户了解贵公司的安全政策,以及在云中访问和使用贵公司应用程序和数据时对他们的期望。
步骤 5:监控和维护零信任环境。这意味着要持续检查和记录所有流量,以识别异常活动,并决定如何使策略更安全。通过主动监控,您的保护面可以扩大,从而允许您对架构进行更改,进一步增强安全性。
在云环境中应用零信任的技巧
让维护云中的零信任变得更容易:
使用云交付的安全措施,在云中实施零信任。
为用户提供安全、一致和无缝的体验,无论他们身处何地、希望以何种方式连接或使用何种应用程序。否则,如果用户体验过于复杂,或者每当他们在一个新的地点工作或使用不同的应用程序时都要求做出太大的改变,他们就不会接受。
根据上下文限制用户访问,从而减少攻击面。
益处
为云部署 "零信任 "的一些好处包括
更好地了解数据、资产和风险。
始终如一的全面安全。
速度和灵活性,领先于不断发展的技术。
降低运营成本和复杂性。
更多 "零信任 "文章:
