曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        符合NIST零信任安全性準則
        發布時間:2020-12-10 08:41:39   閱讀次數:

        符合NIST零信任安全性準則(圖1)

        背景簡介

        數字化轉型,顛覆性技術的泛濫以及“在家工作”等新興趨勢使企業的數字邊界消失了。隨著邊界的縮小,傳統的外圍安全解決方案已不足以應對從各個地方訪問的日益增長的需求。


        這些發展以及數據泄露和安全事件的驚人增加使信任的概念消失了。因此,零信任安全基于“永不信任,始終驗證”(Never Trust, Always Verify)的宗旨,并將信任視為漏洞。零信任(Zero Trust)安全性要求嚴格且連續的身份驗證,以最小化隱式信任區域。 NIST最近發布了零信任安全性藍圖,其中提供了有關如何構建有效的零信任安全性架構的指南。


        本文的目的是評估NIST零信任指南,并提供有關如何實施有效的以身份為中心的零信任體系結構的具體指南,以期在外圍環境中實現安全性。


        零信任:超越“城堡和護城河”

        早在1980年代,美國總統里根(Reagan)提到當時的蘇聯時,曾使用“信任但核實”一詞??爝M到2020年代,通過物聯網,云交付和移動采用等技術的采用和擴散,企業的數字化轉型已導致傳統IT安全邊界的瓦解。在這種環境中,當應用程序從云傳遞到云,用戶無處不在且正在使用多個設備時,依賴單個信任點的能力就難以維持;所有互動本質上都是冒險的,因此必須采取“永遠不要信任,永遠要核實”的立場。


        零信任是一項戰略倡議和原則,旨在通過假設沒有實體受信任來幫助組織防止數據泄露并保護其資產。美國國家標準技術研究院(NIST)將“零信任”定義為“概念和思想的集合,旨在在面對被視為已遭到破壞的網絡時,在信息系統和服務中執行準確,最低特權的按請求的每請求訪問決策方面的不確定性最小化?!?/p>


        零信任超越了支配傳統邊界安全的“城堡和護城河”概念,認識到在安全方面,信任是一個漏洞。傳統的安全概念認為,所有用戶一次在公司網絡中都會受到信任-包括威脅參與者和惡意內部人員。信任賦予了他們橫向移動和自由訪問或泄露他們不受限制的任何數據的權利。

        傳統架構將用戶視為在隱式信任區內受信任的用戶

        圖1:傳統架構將用戶視為在隱式信任區內受信任的用戶


        零信任是一種安全模型,需要嚴格的身份驗證,并將決策轉移到更接近資源的位置進行身份驗證和授權。零信任的定義表明,它的重點是身份驗證,授權,并在保持可用性和提供無縫身份驗證機制的同時最小化隱式信任區域。訪問規則盡可能細化,以強制執行執行請求的操作所需的最低特權。


        為了實現其目標,零信任受以下基本原則支配:

        • 對公司資源的訪問由動態策略確定,在每個會話的基礎上執行,并基于收集的有關客戶端身份,應用程序/服務和請求資產的當前狀態的信息進行更新,包括其他行為和環境屬性

        • 與資源的所有通信都必須經過身份驗證、授權和加密

        • 身份驗證和授權與基礎網絡無關

        • 企業監視并衡量所有擁有和關聯資產的完整性和安全狀況


        零信任的新藍圖?

        在現代的數字環境中,員工的流動性和客戶的無處不在習慣要求隨時隨地訪問資源,傳統的外圍安全措施似乎不足以保護其免受復雜的網絡攻擊。


        依靠本地路由的傳統安全解決方案的使用對云實施身份驗證和授權會影響生產力,可擴展性和用戶體驗,并增加運營成本。依靠傳統解決方案會導致復雜性,管理開銷,并給用戶帶來迷霧與磨擦。


        “使用依賴于本地路由的傳統安全解決方案來強制對云進行身份驗證和授權會影響生產力,可擴展性和用戶體驗?!?/span>


        物聯網、多云平臺和容器的激增要求創建和管理眾多身份驗證身份。結果,企業變得越來越依賴身份和憑證。毫不奇怪,這些憑據是網絡罪犯有吸引力的目標。憑據和身份盜用受損是安全事件和數據泄露的主要原因。


        由于攻擊面的擴大,GDPR、CCPA、PCI DSSHIPAA等法規是基于問責制的,并要求對每個數據通信和過程進行強有力的認證和授權。


        此外,全球工作環境正在發生變化。在COVID-19大流行的推動下,遠程工作趨勢加速了云平臺的采用,并增加了在接入點基于上下文,自適應和動態決策有效地認證和授予對公司資源的訪問的需求。


        這些發展使NIST標準化了“零信任”架構。 NIST SP 800-207(零信任體系結構)是零信任的藍圖,并“提供了零信任可以改善企業整體信息技術安全狀況的常規部署模型和用例?!痹摮霭嫖锏陌l行將導致零信任安全模型的更大采用。


        NIST零信任架構的方法

        NIST描述了構建有效的零信任安全體系結構的三種方法。


        以身份為中心

        零信任架構的以身份為中心的方法將用戶、服務和設備的身份置于策略創建的核心。 企業資源訪問策略基于身份和分配的屬性。 訪問公司資源的主要要求是基于授予給定用戶、服務或設備的訪問特權。 為了迎合更具適應性的身份驗證,策略執行可能還會考慮其他因素,例如使用的設備、資產狀態和環境因素。

        以NIST身份為中心的零信任架構方法。 資料來源:NIST SP 800-207

        圖2:以NIST身份為中心的零信任架構方法。 資料來源:NIST SP 800-207


        以網絡為中心

        零信任架構的以網絡為中心的方法基于由網關安全組件保護的公司資源的網絡微細分。 要實施此方法,企業應使用基礎設施設備作為策略實施,例如:智能交換機(或路由器),下一代防火墻(NGFW)或軟件定義的網絡(SDN),以保護每個資源或一組相關資源。

        NIST以網絡為中心的零信任架構方法。 改編自NIST SP 800-207。

        圖2:NIST以網絡為中心的零信任架構方法。 改編自NIST SP 800-207。


        以網絡為中心的方法著重于將傳統邊界劃分為多個子區域。 用戶一旦進入區域即被認為是受信任的。雖然在一定程度上降低了風險,但以網絡為中心的方法并不是無風險的,因為它假定實體一旦進入區域即受到信任。 因此,此方法將需要其他安全措施和強大的身份管理。


        以身份為中心以網絡為中心
        • 依靠強大的身份信任模型,可以快速采用新技術

        • 鑒于眾多的網絡安全區域,配置、故障排除和管理非常復雜

        • 身份信任是一種自我強化的模型:您對系統中的身份進行評估/控制的次數越多,獲得的知識就越多,信任就越強

        • 單點漏洞:用戶進入區域后,他們可以自由漫游,對其活動的控制和可見性受到限制

        • 身份信任評估變得很普遍,可以被新服務使用以做出簡單的安全決策

        • 可能無法在信任區域中支持云應用


        • 讓非雇員進入這些區域是不好的做法,但很難避免(例如承包商)

        表1:以身份為中心和以網絡為中心的零信任方法的比較


        基于云的組合

        基于云的零信任架構組合方法利用了服務邊緣(SASE)上基于云的訪問管理和軟件。 基于云的訪問管理解決方案可以保護和強制執行云應用程序和服務的身份,而SASE組件(例如軟件定義網絡(SDN)或下一代防火墻(NGFW))可以保護本地資源并監視網絡流量。

        符合NIST零信任安全性準則(圖4)

        圖3:基于云的零信任組合架構方法。


        通過Thales SafeNet Trusted Access(STA)實施零信任

        現代企業安全邊界不再是物理位置;它是分散在云中并從云中交付的一組訪問點?,F在,身份已成為新領域,應成為訪問決策的核心。任何資源、用戶、設備或服務的身份,都為訪問策略的應用提供了關鍵上下文。


        身份是企業最終希望保護的應用程序和數據資產的零信任安全性的基石。最大的挑戰是采用全面的零信任安全解決方案,該解決方案涵蓋身份和端到端數據。借助基于云的訪問管理和身份驗證解決方案,Thales可以全面滿足企業的關鍵零信任安全需求。


        SafeNet Trusted Access是有效的零信任安全實現的起點,同時滿足零信任原則:

        • 無論應用程序位于何處、用戶位于何處、設備用戶使用什么設備以及網絡路由如何,都可以在應用程序訪問點動態實施訪問決策

        • 第三方網絡安全供應商技術(例如VPN、WAM、WAF、SASE等)的更新輸入有助于訪問決策。

        • 即使啟用了單點登錄(SSO)功能,也會不斷重新評估遵循“默認拒絕”立場的訪問決策。


        使用Thales SafeNet Trusted Access實施零信任的好處

        使用SafeNet Trusted Access來實現以身份為中心的零信任體系結構有很多好處:


        建筑邏輯方法

        傳統外圍解決方案通過中央本地部署中心控制流量,該中心對于生成或路由到云的流量無效,可能會造成瓶頸和單點訪問故障。 SafeNet Trusted Access網絡誕生于云端。 因此,它不依賴于本地基礎結構,并且可以控制云中的訪問以避免瓶頸。 此外,由于所有身份驗證和訪問決策都在每個訪問點上得到持續執行,因此SafeNet Trusted Access可在整個分散的網絡環境中實現安全性,從而實現零信任方法。

        符合NIST零信任安全性準則(圖5)

        靈活敏捷

        SafeNet Trusted Access的核心優勢之一是它的策略引擎,它允許設置非常靈活的訪問策略。安全策略可滿足創建非常細化和特定的規則的需要,以便在開放會話中不斷重新評估用戶,而不僅僅是某些事件,例如身份驗證超時。如果風險級別發生變化,則SafeNet Trusted Access會強制用戶重新進行身份驗證或采用更強大的身份驗證形式??梢詾槊總€應用程序設置策略,將其應用于網絡范圍,操作系統以及用戶集合和地理位置??梢愿鶕討B云環境中的更改將身份驗證規則建立為動態的,并根據具體情況進行設置。


        易于部署、管理和可擴展性

        SafeNet Trusted Access提供了一種簡單且可擴展的方式來啟用“在家工作”或“任何地方工作”。盡管SASE解決方案仍在發展,而舊有的解決方案不足以滿足現代零信任的要求,但SafeNet Trusted Access平臺已經可以使用,建立和驗證。通過以身份為中心的零信任被所有技術和服務所消耗,SafeNet Trusted Access提供了一種面向未來的自適應解決方案,無論在何處都能保護公司資源。


        流暢而熟悉的用戶體驗

        無縫集成到廣泛的應用程序和服務中的能力對于確保標準化的統一訪問框架以及為最終用戶提供一致的身份驗證體驗至關重要。 無論是基于云的應用程序還是基于VPN或Internet代理的受保護應用程序,SafeNet Trusted Access都可以在所有登錄場景中提供一致的應用程序訪問權限,并為所有應用程序應用統一的網絡路由。最后,為應對日益增長的``在家工作''要求,SafeNet Trusted Access權限可以啟用BYOD方案而不會損害安全性。


        結論

        在傳統的“城堡與護城河”安全概念中,不良行為者一旦被視為企業網絡內部的成員,便可以不受阻礙地自由漫游。 零信任安全概念使組織可以在云中安全增長,并適應無邊界和分散的環境。 SafeNet Trusted Access通過確保在訪問點處連續保護應用程序和服務的能力而確?!盁o人信任,遍地驗證”的姿態來滿足這些需求,而不管部署的基礎網絡,應用程序的位置,用戶的位置如何或正在使用的終端設備。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精