身份難辨,零信任架構下如何設置訪問權限?

計算機世界
“零信任”概念沒有統(tǒng)一定義難理解?NIST(美國國家標準與技術研究院)梳理了7大“零信任”原則,幫助用戶更好的保護網絡安全。

111.webp.jpg

近年來,坊間不乏有關零信任的定義,你一定聽到過諸如原則、支柱、基本原理和宗旨之類的術語。雖然對零信任還沒有一個統(tǒng)一的定義,但是業(yè)界對于一個概念有共同的理解還是很有必要的。為此,NIST(美國國家標準與技術研究院)發(fā)布了NIST SP 800-207零信任架構,描述了以下關于零信任的七大原則:

01

所有數據源和計算服務都被視為資源

僅將終端用戶設備或服務器視為資源的時代早已過去了。今天的網絡包括一系列層出不窮的設備,從服務器和端點設備等傳統(tǒng)設備,到FaaS(函數即服務)等更動態(tài)的云計算服務,不一而足,它們可能需要對你環(huán)境中的其他資源擁有特定的訪問權限才能執(zhí)行。

對于你環(huán)境中的所有數據和計算資源而言,除了最低權限訪問控制措施外,你還必須確保已經實施了基本的驗證控制措施,必要時還要實施高級的驗證控制措施。與后幾條原則密切相關的是,所有這些資源在某種程度上相互關聯,可以提供信號上下文,以幫助推動零信任中的架構組件做出決策,這將在第七個原則中進行討論。

02

無論網絡位置如何,所有通信都是安全的

零信任環(huán)境中落實了ZTNA(零信任網絡訪問)這個概念。這與傳統(tǒng)的遠程訪問模式形成了對比;在傳統(tǒng)的遠程訪問模式中,用戶完成身份驗證連接至VPN,然后在網絡內/網絡上可以不受限制地訪問。

在ZTNA環(huán)境中,訪問策略是默認拒絕訪問,必須對特定資源授予明確的訪問權。此外,在ZTNA環(huán)境中操作的用戶如果沒有明確的訪問授權,甚至不會意識到環(huán)境中存在的應用程序和服務。你很難把注意力轉移到你不知道存在的東西上。

222.webp.jpg

如今,地理位置分散的員工們因為新冠肺炎疫情而更加分散,這使得第二條原則對企業(yè)來說更重要,現在企業(yè)中有很大一部分勞動力要從許多不同的地方和設備訪問內部資源。

03

基于每個會話授予訪問單個企業(yè)資源的權限

“就像季節(jié)一樣,人也在變化”。這句話對于數字化身份來說更是如此。面對具有動態(tài)性的分布式計算環(huán)境、云原生架構以及不斷暴露在一連串威脅面前的分布式員工隊伍,信任應該僅限于單一會話。

你在前一次會話中信任一個設備或身份,并不意味著你在后面的會話中能繼續(xù)信任他們。每次會話都需要同樣嚴謹地確定設備和身份對你的環(huán)境構成的威脅。與用戶相關的異常行為或設備安全態(tài)勢方面的變化都可能會發(fā)生,應該與每個會話結合起來,以決定訪問和訪問程度。

04

對資源的訪問取決于動態(tài)策略(包括客戶身份、應用程序/服務和所請求資產的可觀察狀態(tài)),可能包括其他行為屬性和環(huán)境屬性

現代計算環(huán)境很復雜,遠遠超出了企業(yè)的傳統(tǒng)邊界。應對這種現狀的方法之一是,利用所謂的“信號”,在你的環(huán)境中做出訪問控制決策。

直觀顯示信號的一種方法是借助微軟的Conditional Access(條件訪問)圖。訪問和授權決策應該考慮到信號,信號可以是諸如此類的信息:用戶及位置、設備及相關的安全態(tài)勢、實時風險以及應用程序上下文。這些信號應支持決策過程,比如授予全面訪問、有限訪問或根本不允許訪問。你還可以根據信號采取額外的措施,以請求更高級別的驗證保證,比如MFA(多因子驗證),并根據這些信號限制授予的訪問級別。

作者:Chris Hughes。Chris Hughes在IT/網絡安全行業(yè)有近15年的從業(yè)經驗,除了在私營部門擔任顧問外,還曾在美國空軍服過役,并在美國海軍和GSA(總務管理局)下設的FedRAMP(聯邦風險和授權管理項目)任職公務員。

原文網址:

https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html

編譯:沈建苗

微信排版:沈青初

排版審核:劉沙

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論