验证零信任机制.pdf

“验证零信任安全”白皮书 目录 简介  执行摘要 什么是零信任？ 零信任为何重要 传统与零信任模型 零信任架构框架 零信任和分段 可视性、分析和自动化 零信任步骤 实现可信访问        思科安全产品组合 摘要 简介  本文档介绍与零信任相关的信息，以及如何使用该信息来保护企业。 执行摘要 零信任代表一种模型，该模型假定任何用户、设备或应用程序（无论是网络外部还是网络内部）都 不能视为安全，并且必须验证每个用户或应用程序才能允许其访问网络资产。 在虚拟化和内部资源快速迁移到公共云、私有云和混合云中，这一概念已变得更加重要。 零信任一词由Forrester在2010年发布其零信任网络架构报告时创建。 切记，零信任必须作为业务层面的战略开始实施，以保护重要的业务利益和计划。 零信任支柱 什么是零信任？ 零信任是一种战略方法，它包含各种技术，有助于为当今的基础设施实现更切实的安全保护。它是 一个安全架构和企业方法，旨在有效地协调当今的技术、实践和策略的组合。 它代表着我们安全方法的发展历程，提供了一种全面、可互操作且全面的解决方案方法，将多个供 应商的产品和服务融为一体。 零信任基于许多已确立的技术，例如网络分段、多因素身份验证和网络访问控制。 零信任为何重要 零信任有助于保护企业免受未授权用户、漏洞和网络攻击。您可以持续验证用户和设备的身份，并 仅允许他们执行其工作所需的权限，从而将安全事件的风险降至最低。 市场研究表明，全球零托管安全市场规模预计将从2022年的270亿美元估计值到2027/2028年的 600亿美元，届时复合年均增长率约为17%。 动机： 基于目标的网络攻击频率提高 数据保护和信息安全的法规增长 降低业务和组织风险的需求更大 随着越来越多的服务迁移到云，集中式数据部署超越了数据边界，并放大了安全风险。 在整个访问过程中确认用户身份的需要，而不仅仅是在初始阶段 一次勒索软件攻击造成的损失高达500万美元。网络犯罪分子在针对企业时不会区别对待。 最近的CIO和CISO调查显示，零信任是五大优先事项之一。CISO表示，向远程工作的转变、劳动 力短缺以及网络安全攻击的大幅增加都要求保护他们在企业中的现有系统。 传统与零信任模型 传统环境是在环境构建之后添加安全性的环境。通常，它们是平面网络，其防御措施围绕网络边缘 构建，以阻止来自Internet的攻击。 零信任通常用于强调通过加密、安全计算机协议、动态工作负载和数据级身份验证和授权相结合的 方式在多个级别上保护组织的系统和数据的需求，而不是仅仅依赖于外部网络边界。 随着工作负载越来越多地通过云交付，而移动终端成为应用和数据访问的规范，传统的以外围为中 心的安全架构效率较低。 零信任架构框架 零信任架构框架处理对系统、应用和数据资源的访问限制，这些限制适用于那些特别需要访问并已 经过验证的用户和设备。他们必须持续进行身份认证和安全状态验证，以确保每个资源获得适当的 授权才能提供访问权限。 该框架基于NIST特别出版物800-207，旨在提供将零信任安全概念迁移并部署到企业环境的路线图 。 有效的零信任架构框架可跨这七个主要核心组件进行协调和集成。 零信任网络是零信任策略的一个重要特征，零信任策略是指对网络进行分段或隔离网络资产 ，以及保持对网络之间通信的控制。此外，它还可以确保可信连接的安全，以扩展远程使用的 工作空间。 Zero Trust Workforce包含用于限制和实施用户访问的方法，其中包括用于对用户进行身份验证 以及持续监控和管理其访问权限的技术。这种访问由DNS、多重身份验证和网络加密等技术提 供保护。 零信任设备解决了隔离、保护和管理所有联网设备的需求，随着移动性和物联网的加深，这些 设备不断增长，为攻击者创造了极大的漏洞。 零信任工作负载可保护运行关键业务流程的前后应用堆栈。专注于保护数据中心内应用、数据 和服务之间的东/西流量，以更好地保护关键应用。 零信任数据是指对数据进行分类和分类的方法，与保护和管理数据的技术解决方案相结合，包 括数据加密。 可视性和分析是指为自动化和协调提供感知，使管理员不仅能够看到而且能够了解其环境中的 活动（包括实时威胁的存在）的技术。 自动化和协调包括机器学习算法和人工智能等工具和技术，可自动对网络和数据中心资产进