什么是零信任？

如果您是推出零信任架構的公司的 IT 專業人員，您可能非常了解零信任在您的世界中意味著什么。從更廣泛的角度來看，以下是需要考慮的兩個主要概念：

零信任：一種網絡安全范式，從不隱含授予信任

零信任架構：企業資源和數據安全的端到端方法

零信任的座右銘是“永不信任，始終驗證”。這幾乎可以總結它。

如果您的組織正在推出零信任，則可能會從用戶的身份和訪問管理 （IAM） 開始。從那里，它轉移到連接到網絡的設備，然后通過實施微分段等策略轉移到網絡本身，然后轉向自動化和分析。這些被稱為零信任模型的“支柱”。

零信任體系結構是從基于邊界的安全模型遷移到網絡上的每個人和設備都經過端到端身份驗證和授權的安全模型。如果您的公司已經走上了這條道路，這不是新聞。不過，可能是新聞的是可信時間?在零信任網絡中發揮的關鍵作用。讓我們首先從為什么時間很重要開始。

為什么時間很重要

在管理網絡時，全網時間同步的準確性及其在網絡管理和安全中扮演的重要作用通常被認為是理所當然的。如果您不相信，想象一下如果每個網絡設備都有不同的時間會發生什么。整個網絡將爆發混亂。日志文件和網絡遙測將毫無用處。日志和遙測時間戳不會關聯。例如，實時接收但回溯到前一周的系統日志將無濟于事。儀表板會出錯，或者至少顯示不正確的數據，并且很可能會觸發警報。關鍵進程要么開始得太早，要么開始得太晚。網絡取證幾乎是不可能的，審計將毫無意義，視頻時間戳將不正確。說夠了。如您所見，整個公司網絡的時間準確性很重要，而且確實很重要。

由于時間非常重要，因此需要考慮網絡時間同步的時間來源的“什么，誰，何地和何時”。提供網絡時間協議 （NTP） 時間戳的時間服務器是“什么”。如果“誰”和“哪里”只是來自互聯網或互聯網NTP服務器池的時間服務器的IP地址，那么您需要考慮接收的NTP時間戳的“時間”的有效性和脆弱性。不過，這是另一篇博客文章的主題，因為來自互聯網的空閑時間幾乎違反了零信任的所有原則，不能被視為可信時間。

什么是可信時間?？

假設網絡中有一個 NTP 網絡時間服務器，零信任會引發兩個關鍵問題。時間是隱式還是顯式信任？時間服務器本身作為連接到網絡的設備，是否與零信任網絡技術兼容？

可信時間意味著時間服務器在時間的準確性和合法性方面是可信的。這也意味著它作為連接到網絡的設備受到信任，并且符合公司的安全要求。

網絡安全團隊對時間服務器的安全功能更感興趣，而不是驗證和驗證時間戳的準確性或帶寬。由于我們的 SyncServer? S600/S650 網絡時間服務器提供無與倫比的計時性能，讓我們討論一下它們的安全屬性。

作為目前可用的最安全的可信時間網絡設備，SyncServer 時間服務器符合零信任模型的基本支柱，包括用戶、設備、網絡、應用程序和分析。

以下信息圖是 NIST 特別出版物 800-207：零信任體系結構中概述的核心組件的簡化表示。它演示了這些支柱如何與 NIST 數據平面和控制平面相關。

例如，讓我們討論如何允許數據平面中的管理員（用戶支柱）訪問 SyncServer S600 服務器的 Web GUI。第一步是使用控制平面中的 X.509/PKI 基礎結構（設備支柱）向瀏覽器驗證 S600 服務器。服務器通過身份驗證后，管理員通過 RADIUS/TACACS+/LDAP 提交憑據，以便使用控制平面中的 ID 管理系統進行用戶身份驗證。如果授權訪問，則授予用戶訪問 S600 服務器的 Web GUI 的權限。

有許多方案可以使用SyncServer時間服務器在零信任體系結構中實現可信時間。我們已經為其中許多場景創建了信息圖表。在每個圖形中，突出顯示了SyncServer時間服務器中的安全技術和相關的零信任支柱，以便于參考。查看這些信息圖表。

如果您的公司正在向零信任架構邁進，請利用我們的應用說明，該說明解釋了為什么可信時間在零信任網絡中如此重要。這個簡短的文檔解釋了SyncServer S600 / S650時間服務器如何確保時間及其來源的安全性，并符合零信任原則。它包括 S600/S650 服務器安全功能的詳細列表，以及它們如何與零信任模型的支柱保持一致。您的安全團隊可以使用此有用的檢查列表來確定時間服務器是否符合您的網絡安全要求。

作為最安全的可信時間網絡設備，SyncServer? S600時間服務器非常適合支持零信任計劃。它確保了時間及其來源的安全性，并符合零信任的基本支柱。

審核編輯：郭婷