【翻译】零信任架构准则(五)Don‘t trust any network

news/2024/4/16 16:38:01/文章来源:https://blog.csdn.net/qq_33823833/article/details/136533227

将监控重点放在用户,设备和服务上

全面监控必不可少,因为设备和服务更容易受到网络攻击。在零信任架构中,随着设备,服务和用户行为的持续评估,我们的监控策略很可能发生改变。我们应该持续进行监控,并将用户流量通过安全传输(相互验证的TLS)定期导出到指定组件去分析,比如说用户访问的行为,是否是正常工作时间或正常工作地(发生异常很有可能是攻击者)。了解我们的服务,并了解用户与服务之间的交互也很重要,我们在监控中,观察设备,用户和服务正在执行哪些操作以及它们正在访问哪些数据,观察并验证它们是否按照你的预期执行。

如果我们使用的是自带设备(BYOD)或者是访客设备,那么我们将无法完全监控所有目标,在这种情况下,我们可以使用移动设备管理(MDM)和移动应用程序管理(MAM)解决方案,以此来提高对此类设备的安全性信心,具体可参照BYOD安全指南(BYOD guidance)。

不要相信任何网络,包括你自己的

零信任网络将网络视为敌对,我们必须主动构建并维护对用户,设备和服务的可信值。我们不要信任设备与其访问的服务之间的任何网络,这包括本地网络。为了防止这些攻击,我们应该采用两种方式,一种是安全加固,类似于使用安全传输等手段,这将有效防止DNS欺骗,中间人和未经请求的入站连接等攻击;第二种是使用私有协议封装,类似于隧道传输。

在零信任架构中,设备会通过浏览器访问互联网(IA场景),那么网络流量一定不会通过隧道返回到监控的中心点,因此设备需要做一些传统的web浏览器的安全防护,比如说恶意域名,未经授权的协议,恶意URL和网络钓鱼检测等等。如果你不能使用设备安全功能强制执行互联网策略,那你必须通过托管云来路由互联网流量。

选择专为零信任设计的服务

在选择零信任架构的组件或服务时,我们应该倾向内置支持零信任的服务,如果是遗留的服务(不在处于积极开发或支持的服务),可能需要额外的组件来实现零信任,这可能会增加管理开销并导致服务可用性的问题,因此,请确保你有足够的资源来解决这个问题,具体可参阅Obsolete products guidance。

不要重复发明轮子,由于成本,复杂性和出错的可能性,我们应该避免自己开发基础设施,我们应该尽可能使用基于标准的技术,这将具有可扩展性和移植性,一个很好的例子是身份验证和授权的通用标准允许服务和身份提供者之间进行互操作(OpenID Connect,OAuth 2.0or SAML)。

最后总结-零信任架构7项关键元素

  • Who is connecting?

知道连接的一方的身份。身份的特定的、细粒度的本质是零信任和零信任交换的基石——不仅对人,也对设备、可连接的东西和工作负载。这些实体必须提供一个有效的身份来区分自己,以便通过正确的控件集访问允许的资源,并应阻止所有其他访问权限。

  • What is the access context?

身份给了零信任一个谁在联系,他们的角色和责任的想法,但缺乏围绕联系的上下文。身份最初被认为是基于是否经过身份验证的初始实体提供“是”或“否”的二进制输出的能力。现在,我们必须将谁正在连接的细节与该连接的上下文联系起来,这允许对最小特权零信任的额外控制。就像你的Netflix登录让你访问Netflix一样,是关于你的东西——年龄、位置、兴趣、观看历史等——让Netflix推荐你最感兴趣的节目。

  • Where is the connection going?

验证过程的第一个要素以最初的身份评估结束。下一个元素需要理解被请求的资源:应用程序。这个应用程序需要被识别,是的,但是它的功能、位置、已知的风险或问题,以及与访问请求者的身份的关系也必须被评估。重要考虑的例子包括该应用程序是否已知,以及该应用程序是否在互联网上公开。这些条件将决定如何将申请提交到零信任过程的控制和执行阶段。确定哪个启动器可以连接到哪个目标服务,这最终是零信任解决方案的验证和控制阶段的结果。零信任服务不是防火墙,这意味着它们既不是传递的,也不是静态的。因此,所实施的策略必须不是一个简单的定义。

  • Assess risk

在生活中,我们都是根据上次表演的结果来评判的。零信任也是如此。前面的元素只和最新的评估一样好。该解决方案必须通过动态风险评分来考虑企业的风险容忍度。后续和正在进行的风险评估必须根据一组信号进行动态计算,以确保评分根据新的发展进行更新。这种风险随后引入决策引擎,以确定是否应该授予持续的访问权限。

  • Prevent compromise

查看流量和云应用程序使用情况的能力,可以有效消除隐藏在加密流量中的僵尸网络和恶意软件等恶意内容。由于大量连接互联网的流量被加密,未经检就允许这些流量使用服务是有风险的。检查外部和内部应用程序访问是至关重要的,因为这两个流量都可能是加密的。为了通过内部通信来抵御威胁,企业必须能够大规模地进行内部流量解密。

  • Prevent data loss

检查面向互联网、SaaS或内部应用程序的流量的能力对于识别和防止敏感数据的丢失非常重要。对于互联网来说,用例是显而易见的,中间人解密检查和API扫描都必须确保敏感数据不会泄露或渗透到未经授权的云服务。但是,同样的保护也应该扩展到内部应用程序访问。此功能适用于管理设备和非管理设备,在考虑物联网/OT设备和工作负载通信时也很重要。

  • Enforce policy

遵循验证和控制阶段,并结合对动态风险评估的理解,我们到达了执行点。执行并不像传统的安全解决方案那样,集中在专用设备的网络上。要素1中的授权决定和要素2中的评估都会影响到我们当前阶段的执行。必须不断地、统一地实施政策执行(永不信任,始终验证)。只有当策略保持不变,平等地应用于服务,那么无论执行点的位置如何,都能实现统一的管控。

延伸阅读

Books

  • Zero Trust Networks by Gilman and Barth
  • Zero Trust Security by Garbis and Chapman
  • NIST SP 800-207 Zero Trust Architecture
  • UK National Cyber Security Centre Zero trust architecture design principles

Papers

  • Forrester Build Security Into Your Network's DNA: The Zero Trust Network Architecture
  • Google BeyondCorp 1 An overview: "A New Approach to Enterprise Security"
  • Google BeyondCorp 2 How Google did it: "Design to Deployment at Google"
  • Google BeyondCorp 3 Google's front-end infrastructure: "The Access Proxy"
  • Google BeyondCorp 4 Migrating to BeyondCorp: Maintaining Productivity While Improving Security
  • Google BeyondCorp 5 The human element: "The User Experience"
  • Google BeyondCorp 6 Secure your endpoints: "Building a Healthy Fleet"

Posts

  • Google How Google adopted BeyondCorp
  • Wall Street Journal Google Moves Its Corporate Applications to the Internet
  • Gitlab's Blog series and their reddit AMA

Videos

  • USENIX Enigma 2016 - NSA TAO Chief on Disrupting Nation State Hackers
  • What, Why, and How of Zero Trust Networking by Armon Dadgar, Hashicorp
  • O'Reilly Security 2017 NYC Beyondcorp: Beyond Fortress Security by Neal Muller, Google
  • Be Ready for BeyondCorp: enterprise identity, perimeters and your application by Jason Kent

翻译:zhihu于顾而言

Reference

zero-trust-architecture/6-Focus-your-monitoring-on-users-devices-and-services.md at main · ukncsc/zero-trust-architecture · GitHub

zero-trust-architecture/7-Don't-trust-any-network-including-your-own.md at main · ukncsc/zero-trust-architecture · GitHub

zero-trust-architecture/7-Don't-trust-any-network-including-your-own.md at main · ukncsc/zero-trust-architecture · GitHub

https://www.zscaler.com/resources/ebooks/seven-elements-of-highly-successful-zta.pdf

7 Key Elements of Highly Successful Zero Trust Architecture (zscaler.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_997951.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于uniapp cli项目开发的老项目,运行报错path.replace is not a function

项目:基于uniapp cli的微信小程序老项目 问题:git拉取代码,npm安装包时就报错; cnpm能安装成功包,运行报错 三种方法尝试解决: 更改代码,typeof pathstring的话,才走path.replace…

wpf prism左侧抽屉式菜单

1.首先引入包MaterialDesignColors和MaterialDesignThemes 2.主页面布局 左侧菜单显示在窗体外&#xff0c;点击左上角菜单图标通过简单的动画呈现出来 3.左侧窗体外菜单 <Grid x:Name"GridMenu" Width"150" HorizontalAlignment"Left" Ma…

1.2_2 OSI参考模型

文章目录 1.2_2 OSI参考模型一、概述&#xff08;一&#xff09;ISO/OSI参考模型是怎么来的&#xff1f;&#xff08;二&#xff09;ISO/OSI参考模型&#xff08;三&#xff09;ISO/OSI参考模型解释通信过程 二、各层功能及协议&#xff08;一&#xff09;应用层&#xff08;第…

备份 ChatGPT 的聊天纪录

备份 ChatGPT 的聊天纪录 ChatGPT 在前阵子发生了不少次对话纪录消失的情况&#xff0c;让许多用户觉得困扰不已&#xff0c;也担心自己想留存的聊天记录消失不见。 好消息是&#xff0c;OpenAI 在 2023 年 4 月 11 日推出了 ChatGPT 聊天记录备份功能&#xff0c;无论是免费…

java基础-io

文章目录 IO常见面试题java中io流分为几种BIO,NIO,AIO有什么区别 IO分类字符流-字节流-缓冲区字节流、字符流和转换流之间的关系字节字符得区别缓冲区 同步阻塞IO/BIO同步非阻塞IO/NIOjava NIO由几个核心部门&#xff1a;缓存Buffers&#xff1b;通道Channels&#xff1b;选择器…

项目建设计划书-word

【项目建设计划书-word】 项目描述&#xff08;项目目标&#xff0c;客户需求情况&#xff0c;项目交付清单&#xff0c;验收标准和交付期限&#xff0c;服务及约束&#xff09;项目组织&#xff08;项目组人员架构&#xff0c;职责分工&#xff0c;人员投入安排及时间点安排&…

气相白炭黑外资垄断格局被打破 国内本土企业数量增加

气相白炭黑外资垄断格局被打破 国内本土企业数量增加 气相白炭黑又名气相二氧化硅&#xff0c;是一种无毒、无味、无嗅&#xff0c;无污染的非金属氧化物&#xff0c;主要由硅的卤化物在氢氧火焰中高温水解生成的带有表面羟基和吸附水的无定形的纳米级颗粒。气相白炭黑主要用于…

测试一下 Anthropic 宣称超过 GPT-4 的 Claude 3 Opus

测试一下 Anthropic 宣称超过 GPT-4 的 Claude 3 Opus 0. 引言1. 测试 Claude 3 Opus 0. 引言 今天测试一下 Anthropic 发布的 Claude 3 Opus。 3月4日&#xff0c;Anthropic 宣布推出 Claude 3 型号系列&#xff0c;该系列在广泛的认知任务中树立了新的行业基准。该系列包括…

【NR 定位】3GPP NR Positioning 5G定位标准解读(三)

目录 前言 5 NG-RAN UE定位架构 5.1 架构 5.2 UE定位操作 5.3 NG-RAN定位操作 5.3.1 通用NG-RAN定位操作 5.3.2 OTDOA定位支持 5.3.3 广播辅助信息支持 5.3.4 NR RAT相关定位支持 5.4 NG-RAN中与UE定位相关的元素功能描述 5.4.1 用户设备&#xff08;UE&#xff09; …

c++ 中const

对于基础类型直接赋值 void test01(){const int data10;cout<<"data"<<data<<endl;int * p (int*)&data;*p 1000;cout<<"*p"<<*p<<endl;cout<<"after data"<<data; } c中&#xff0c;对于…

洛谷 P1731 [NOI1999] 生日蛋糕

题目 题目链接 自己没看题解写的&#xff0c;摸石头过河&#xff0c;解释一下 首先&#xff0c;输入输出都是正整数。先搞定输入&#xff0c;再判断条件&#xff0c;如果无解&#xff0c;输出0&#xff0c;否则输出蛋糕外表面面积Q&#xff08;这里用全局变量&#xff0c;开l…

【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击)

🏆 作者简介,愚公搬代码 🏆《头衔》:华为云特约编辑,华为云云享专家,华为开发者专家,华为产品云测专家,CSDN博客专家,CSDN商业化专家,阿里云专家博主,阿里云签约作者,腾讯云优秀博主,腾讯云内容共创官,掘金优秀博主,51CTO博客专家等。 🏆《近期荣誉》:2022…

全志D1s裸机开发之体验第一个程序

体验第一个程序 2.1 编译烧录运行 2.1.1 编译 先进入源码目录&#xff0c;打开 Git Bash&#xff0c;如下图操作&#xff1a; 然后在 Git Bash 中执行 make 命令&#xff0c;可以生成 benos_payload.bin 文件&#xff0c;如下图所示&#xff1a; 2.1.2 烧录运行 使用 2 条 …

Leetcode HOT150

55. 跳跃游戏 给你一个非负整数数组 nums &#xff0c;你最初位于数组的 第一个下标 。数组中的每个元素代表你在该位置可以跳跃的最大长度。 判断你是否能够到达最后一个下标&#xff0c;如果可以&#xff0c;返回 true &#xff1b;否则&#xff0c;返回 false 。 示例 1 …

用云手机进行舆情监测有什么作用?

在信息爆炸的时代&#xff0c;舆情监测成为企业和政府决策的重要工具。通过结合云手机技术&#xff0c;舆情监测系统在品牌形象维护、市场竞争、产品研发、政府管理以及市场营销等方面发挥着关键作用&#xff0c;为用户提供更智能、高效的舆情解决方案。 1. 品牌形象维护与危机…

基于java ssm springboot女士电商平台系统

基于java ssm springboot女士电商平台系统源码文档设计 博主介绍&#xff1a;多年java开发经验&#xff0c;专注Java开发、定制、远程、文档编写指导等,csdn特邀作者、专注于Java技术领域 作者主页 央顺技术团队 Java毕设项目精品实战案例《1000套》 欢迎点赞 收藏 ⭐留言 文末…

第107讲:Mycat实践指南:取模分片下的水平分表详解

文章目录 1.使用取模分片水平分表2.水平分表取模分片案例2.1.准备测试的表结构2.2.配置Mycat实现范围分片的水平分表2.2.1.配置Schema配置文件2.2.2.配置Rule分片规则配置文件2.2.3.配置Server配置文件2.2.4.重启Mycat 2.3.写入数据观察水平分表效果 1.使用取模分片水平分表 平…

2024新疆专升本考试报名教程详解

2024新疆专升本报名时间已经开始了&#xff0c;想要参加考试报名的同学可以提前准备好报名照

产品推荐 - GX-SOPC-5CEFA5-M484 FPGA核心开发板

● 核心板采用8层板精心设计 ● FPGA&#xff1a;采用Intel&#xff08;ALTERA&#xff09; Cyclone V 5CEFA5&#xff0c;Les为77K&#xff0c;内嵌存储器为4460Kb&#xff0c;硬件乘法器为300个&#xff0c;最大等效门数约2300万门&#xff1b;新增DSP Block&#xff08;150…

新版AndroidStudio的Gradle窗口显示task list not built 问题解决

在使用新版AndroidStudio时&#xff0c;会出现&#xff0c;Task List not built 的问题。如果你记得task的名字&#xff0c;当然可以 直接通过命令 gradle taskname 或者 ./gradlew taskName直接执行即可&#xff0c;但是若是记不住&#xff0c;还是把这个任务构建处理比较好用…