零信任:21世纪的安全模型
近10年后开始研究了一个安全模型,消除了“信托”的概念,前福雷斯特分析师John Kindervag,他现在是Palo Alto网络的一个Field首席技术官员,表示企业的需求是兴趣和支持对于模型提高势头。
“传统的企业网络通常会给太多人提供太多的人,因为没有特别的目的,但帕洛阿尔托就是让我有机会重新教育人们为什么零信任方法作为战略安全倡议和一般性最佳实践很重要,”他每周告诉电脑。
他说,滥用信任是在许多数据的核心,几乎每天都在违反新闻标题,这是基本上使举办的举办了举办了举办的举报人和切尔西·曼宁,以访问与他们直接相关的成千上万的机密文件没有任何监测,没有任何监测,以便在内部网络上的潜在恶意行动。
“在其核心,零信任模式是关于消除信任和可信系统的概念,因为[数字系统的上下文]信任是一种漏洞。它为组织提供了没有价值,因此我们需要缓解信任,就像任何其他漏洞一样,并根据需要的基础上控制访问,“Windervag表示。
“[组织]的关键词是,如果有人说零信任的目标是使系统信任,那么他们不理解零信任,因为目标是消除信任的概念 - a人类的情感,我们没有理由申请数字系统。“
Windervag表示,谈论系统是“可信赖”的问题是它鼓励人们做“独特而危险的事情”,如没有停止做正确的验证检查,并允许系统访问它不应该允许访问的东西。
虽然Hindervag对他的概念在全球牵引力牵引的事实中感到高兴,但部分受到欧盟一般数据保护条例(GDPR)等新数据保护立法的牵引力,他指出,一些安全供应商正试图利用日益增长的兴趣通过使用术语零信任,但不准确地应用。
他强调,在一夜之间无法实现零信任,并不是为了部署特定的安全产品,而是关于了解信任是一种脆弱性。
“实现零信任的方式是通过零信任架构,在那里部署靠近”保护表面“或您保护的特定资产的控制。您将网络从内部设计而不是从外部设计。它是关于围绕特定敏感数据或资产构建零信任网络。“
根据Windervag,旨在实施零信任模型的组织需要专注于三个初始领域。
“首先,建立一个零信任的卓越中心 - 包括业务和IT领导者 - 每个人都在彼此交谈的那些关于他们所面临的问题,因为许多网络安全的缺失是业务的参与。
“房屋的工程和商业方面通常是一个鸿沟,零信任是一个可以帮助桥梁的策略,”他说,并补充说,这种观点来自两全其世界作为网络和安全工程师工作,建筑师,以及在成为分析师和一个野外首席技术官之前的笔测试仪。
其次,康复说,正在做一个零信任的研讨会,以便每个人都了解目标并具有共同的理解,以及他们的轨迹的指南。
“第三,'开始小'。零信任的关键概念是“保护表面”的概念 - 您需要保护的数据,资产,应用程序和服务。大多数人正试图保护巨大的网络周边,这是攻击表面。
“在应用零信任时,我们将其缩小到保护表面,这可能是一个设备或单个数据存储器,用于需要保护的信用卡数据,以符合PCI DSS [金牌卡行业数据安全]标准。一旦您定义了,您就会以小增量步骤和迭代方式建立时间 - 零信任环境。“
这通常会采取将数据放入网络上的自己的段,使用该数据映射系统的交易流,该数据通过将网络分段网关置于必要的网络分段网关,识别到施加安全控制的位置保护表面前面的功能;使用kipling方法定义微观周长和若要若要的策略,然后使用数据分析进行监视和维护,以改进方法。
在这种方式接近零信任,说尼斯,意味着组织能够实现一些“快速命中胜利”,同时开始练习如何实现方法。“练习很重要,所以组织应该寻找能够在低风险环境中实现安全团队的方式,以获得信心和能力。”
面对越来越多的数据保护和隐私立法,嘉余表示,商业领袖可以看到零信任方法的好处。“这是一个解决了很多基本问题的想法和方法,但它可以逐步完成,而不会扰乱业务。”
他说,该模型的其他好处包括更易于维护,监控和更新的较小规则集;改善IT环境中发生的事情的可见性;由于遗留网络拓扑中没有隐含的出站连接,改进了数据exfiltration的阻止,因为遗留网络拓扑中没有隐含的出站连接;并改善了审计和遵守的数据。
“所有这些事情都被带到了组织的巨大好处,并通过帮助使业务运营使业务运营使网络安全成为企业推动者而不是企业抑制因素,因为它不必争夺破坏性的网络安全事件,”林景说。