色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

零信任體系化能力建設(3):網絡彈性與隔離邊界

jf_73420541 ? 來源:jf_73420541 ? 作者:jf_73420541 ? 2023-08-17 13:42 ? 次閱讀

網絡是現代企業數字基礎設施的核心。零信任理念致力于構建一個以身份(而非網絡)為中心的網絡安全架構,引發了企業網絡安全架構的變革。在零信任體系化能力建設中,“網絡”承載并連接了其他的安全能力支柱,是實現零信任安全框架的關鍵。
然而,復雜多樣的網絡環境為實施零信任帶來了前所未有的挑戰,任何網絡相關能力建設的風險都將嚴重阻礙零信任戰略的推進,因此,將“網絡”支柱的成熟度建設放在零信任實施計劃的后期是大多數企業的選擇。本文主要從網絡相關的零信任安全能力建設入手,討論網絡分段與微隔離、流量管理與檢視、通信加密和網絡可用性保護等問題。

關鍵字:零信任;微隔離;網絡彈性;加密


一、零信任網絡安全


零信任架構使傳統基于邊界的安全方法發生了改變,在向零信任遷移的過程中,網絡扮演著一個非常獨特的角色。一方面,“網絡”從安全活動的焦點轉變為相互關聯的支柱領域之一,失去了在傳統以網絡為中心的安全框架中的主導地位。另一方面,網絡是零信任架構的重要支撐,是連接零信任其他所有支柱的方式和通道。


因此,IT和安全團隊需要重新審視“網絡”在零信任安全框架中的角色和地位。在企業架構中,應用程序并非孤立存在,它運行在數據中心和云中,可能包含多個需要相互協調的分布式組件和功能。但在所有情況下,應用程序需要通過網絡來訪問資源,而用戶也需要網絡來訪問應用程序和數據。


在零信任體系化安全能力中,“網絡”是一個開放的通信媒介和通道,包括傳統的基礎網絡通道(例如,內部網絡、無線網絡和互聯網)和信息通道(例如,用于傳輸信息的網絡隧道和應用層通道等)。企業網絡跨越了多種基礎設施環境和連接,包括:
?傳統的本地設施、服務器和應用程序;
?隨時移動、接入的移動設備;
?訪問公司資源的外部用戶(例如,供應商、客戶等);
?基于云的系統(IaaS、PaaS和SaaS);
?部署于特定環境的、計算能力有限的IoT設備;
?內容分發網絡(CDN)。


復雜環境中沒有真正的邊界。網絡復雜性一直是傳統邊界安全面臨的主要挑戰,而傳統網絡安全控制措施(例如,防火墻、網絡分段、NAC和IDS等)也存在各種難以避免的缺點,主要包括:
?網絡分段和NAC存在沉重的運維負擔,并且可能因引入專有數據報格式,導致廠商依賴和鎖定;
?防火墻因價格昂貴且管理復雜,只能在有限的網絡邊界或DMZ上使用,以實現價值最大化;
?網絡數據采集和集中分析極具挑戰性,涉及專有數據格式、有限可見性等問題;
?網絡威脅檢測的誤報和漏報導致運營開銷增加,并為組織帶來不可見和未緩解的風險。


零信任在更接近應用程序、數據和其他資源的位置實現安全控制,增強傳統基于網絡的保護措施,并提高縱深防御能力。為了實現零信任戰略,組織需要明確業務活動與零信任網絡之間的關聯,了解環境中的所有入口、出口和訪問點,并基于這些可見性來實施整體的網絡安全策略,包括業務流映射,從身份(或設備)出發對訪問進行分段(微隔離)和安全強化。


二、網絡安全的關鍵能力


在零信任安全框架中,網絡層面的安全能力既要確保對網絡的授權訪問,防止橫向移動和非法訪問,也要保障業務流量的機密性和完整性,確保敏感信息不被篡改或泄露,同時還要保證網絡的彈性和高可用,適應不斷變化的威脅環境和業務需求。


1.網絡分段與隔離
傳統上,網絡管理員通過分段將企業網絡劃分為多個區域,并在分段之間部署和管理安全服務策略,來提高網絡的可管理性。在網絡分段(Network Segmentation)中,跨越區域邊界的流量必須經過防火墻的檢查,這為組織提供了高層級的網絡可見性,能夠識別并阻止攻擊者的橫向移動。


微隔離(Micro-Segmentation)對網絡分段進行進一步細化,力圖將每個設備(甚至應用程序)置于獨立的分段內。與被稱為宏隔離(Macro-Segmentation)的網絡分段相比,微隔離雖然確實將網絡劃分為更小的隔離部分,但其重點是要能夠為單個工作負載、應用程序或服務創建安全策略,提供比網絡分段更細粒度的可見性和安全控制,確保所有設備或應用程序之間的流量都被檢查,以查找潛在的惡意內容或違反企業安全或訪問控制策略的行為。

wKgaomTdssyAKDYmAACTBH-j10Y549.png

圖1 網絡分段與微隔離


將網絡分段變得更小,實現微分段的網絡設計是向零信任安全遷移的理想步驟。


在云數據中心中,SDN(軟件定義網絡)和NFV(網絡功能虛擬化)等技術有助于根據特定應用程序、服務或工作負載創建這些類型的微隔離,基于容器的編排平臺還可以通過隔離特定服務和應用程序來促進微隔離的實現。


2.流量管理與檢視
由于不同應用在訪問權限、優先級、可達性、依賴服務和通信路徑等方面存在不同的要求,企業網絡中的每個應用程序都應該以唯一的方式進行處理。


傳統的流量管理主要受網絡QoS的需求驅動,對數據包進行排隊排序,確保關鍵業務、高優先級流量得到優先處理。例如,適用于骨干網QoS的DiffServ模型,通常根據數據流的QoS要求,將流量劃分為不同的級別,高級別的數據流比低級別的數據流優先傳輸。


在零信任安全體系中,基于應用感知的流量管理不僅用于保障關鍵業務的QoS,根據應用的特定部分或用戶操作來控制流量,還需要能夠適應網絡上允許的應用程序類型,識別并阻止格式異常的流量,以防止對允許的應用程序協議的濫用,降低網絡安全風險。


為了實施有效的網絡流量管理,需要增加網絡可見性,確保在流量層面能夠檢視、識別、區分不同的應用程序,以實施基于應用感知的安全策略。在全流量加密的零信任網絡環境中,該要求顯然存在一些技術瓶頸,同時還要面對QoS保障所帶來的網絡運維復雜性問題。


3.協議安全與加密
為了提高數據的機密性,防止攻擊者窺探用戶敏感信息,需要在數據傳輸中加密所有數據,包括企業內部的東-西向流量和與外部網絡之間的南-北向流量。

wKgaomTdst-ASSHEAAXTAoOouns610.png

圖2 企業網絡的南-北向、東-西向流量


一般來說,在應用或數據層面(即支柱)來實施加密策略相對比較簡單,組織也已經開始逐漸采用SSH、TLS、HTTPS和安全DNS(例如,DNSSEC、DNS over TLS、DNS over HTTPS等)等協議開發或替換應用,以提供適當的機密性。然而,有些遺留應用使用了自定義協議和端口,很難進行加密改造。因此,組織需要采用一些其他類型的安全措施。例如,嘗試將這些應用程序的流量隔離到獨立的段中,以減少能夠查看明文流量的人數。


另外,除了端到端的應用層加密方式外,網絡層(點到點)加密可以確保所有數據都被加密,并提供友好無感的用戶體驗。加密過程由網絡上的不同設備(路由器、防火墻)或通過軟件代理來執行。需要注意的是,網絡層加密能夠滿足南-北向的數據(例如,客戶與企業應用之間的電子商務通信)加密需要,但它可能無法加密東-西向數據,企業內網或云端數據中心的流量可能仍然是明文。


最后,當所有流量都被加密后,自然也就丟失了可見性,零信任需要在監控網絡流量和降低數據泄露風險之間取得平衡。此外,即使在普遍采用加密通信的網絡中,明文的敏感信息和口令也幾乎無處不在,企業網絡仍然會面臨一些與機密性相關的安全問題(例如,密鑰管理)。


4.網絡彈性與可用
網絡彈性(Cyber Resilience)在NIST SP 800-160中被定義為“為應對不利條件、壓力、攻擊或威脅,網絡系統所應具備的預測、承受、恢復和適應能力”,包括網絡的可擴展性、可靠性、容錯性和自適應性等方面,其目標是確保在面對故障、攻擊、負載增加或其他不可預測的情況時,網絡能夠繼續提供穩定和可靠的服務。


與網絡安全相比,網絡彈性假設攻擊者已經侵入并將在網絡中長期存在,在網絡環境(包括威脅、運行和技術)持續發生變化的前提下,以最大程度提高組織完成關鍵或重要任務或業務功能的能力,體現了“面向失效的防御”、“縱深防御”、“自適應防御”的安全理念,要求從多個層次和維度來全面地進行基于風險的檢測、響應和安全拒止,這與零信任的安全彈性理念是一致的。

wKgZomTdsu6ANCL0AAjIlHAkgTo860.png

圖3 NIST網絡彈性工程框架


從實現層面看,網絡彈性更側重對關鍵業務和核心基礎設施的安全保障,并通過網絡彈性工程框架(CREF,如圖3)從目的、目標和技術三個層面給出了網絡彈性的實現框架。


在建設零信任網絡能力時,網絡彈性工程能夠支持零信任理念的實施,通過快速調整和部署新的安全措施、身份驗證和訪問控制機制,適應不斷變化的安全需求和威脅環境。另一方面,零信任安全通過精細的訪問控制和身份驗證來減少安全漏洞和風險,從而增強網絡的安全性和彈性。


三、網絡安全的最佳實踐


零信任網絡需要具有“分而治之”的網絡彈性能力,其關鍵思想是通過在網絡內放置多個檢查點來創建網絡微分段,以阻止惡意或未經授權的橫向移動,并在發生違規訪問時,能夠快速響應以遏制和隔離威脅。


1.建立數據流清單
為了提供實施合理的網絡分段和微隔離,需要識別、映射網絡中的合法數據流。數據流清單用于記錄和管理組織內部和外部的數據流動情況,應覆蓋企業網絡中的所有業務流,并實現向身份和設備實體的映射,包括數據的來源、目的地、協議/端口、傳輸方式、訪問權限等信息。


建立數據流清單是零信任網絡建設的重要步驟,也是一個需要持續建設、更新的過程,以保持與網絡和業務變化的同步。在針對南北向和東西向流量進行梳理和分類分析時,可分別采用以下方法:
?識別邊界點。確定數據流進入和離開網絡的關鍵邊界點,例如防火墻、代理服務器或邊界路由器。
?分析網絡日志。分析南北向流量的網絡日志,以識別數據的源頭和目的地,以及協議和端口。
?識別應用程序。通過協議分析、端口識別或應用程序分類工具,確定與每個數據流相關的應用程序和服務。
?識別內部通信。通過網絡流量監控工具或數據包分析,了解內部系統之間的通信流量。
?制定網絡拓撲圖。通過繪制網絡拓撲圖,標識各個系統和組件之間的連接和通信路徑。
?映射業務流程。與業務團隊合作,了解各個業務流程涉及的系統和數據交換情況,識別每個數據流與特定業務流程的關聯。


2.實現網絡微隔離
實現微隔離是大多數零信任網絡建設的起點。通過微隔離,組織可以為不同的用戶、設備和數據流設置特定的訪問規則和權限,確保數據按照預期的方式流動,避免敏感數據被錯誤地傳輸到不應訪問的區域。


不同組織的微隔離細分深度因成熟度而異,有的組織使用無微隔離的“扁平網絡”,有的僅通過VLAN進行了簡單隔離,而具有更高成熟度的零信任網絡則需要考慮身份、設備、數據和資源的微隔離。


此外,實現微分段需要對網絡架構、應用程序和數據流有深入的了解。映射和管理如此眾多的網絡分段,并一致地執行安全策略極具挑戰性。這也是SDN、NFV等網絡自動化和虛擬化技術得到廣泛應用的原因之一。


3.網絡監測與響應
在零信任網絡建設中,建立全面的網絡可見性是威脅檢測和響應的基礎。通過網絡監測工具、入侵檢測系統(IDS)、入侵防御系統(IPS)、威脅情報和分析等技術,實時監控網絡流量和設備行為,可以幫助發現異常活動、未經授權的訪問和潛在的威脅行為。


引入自動化工具和響應機制可以提高威脅檢測和響應的效率和準確性,包括實時告警、自動封鎖惡意流量、隔離受感染的設備等措施,組織可以更好地進行威脅檢測和響應,以保護網絡和數據安全。


4、SDP與VPN替代
經過三年疫情的考驗,以VPN為代表的遠程訪問方案暴露出了嚴重的技術缺陷,遠程用戶為了訪問云資源,而不得不通過VPN隧道繞行數據中心。僅在接入時進行身份驗證,并獲得大量訪問權限的VPN也不符合零信任的安全理念。


SDP被視為VPN的一種替代方案,提供了更加靈活、安全和可控的網絡訪問方式,可以基于用戶身份、設備狀態、網絡環境等多個因素來決定用戶能夠訪問的資源和權限,更加適用于現代的分布式和云原生環境。


四、結語


零信任架構試圖通過消除對內部網絡上的隱含信任,來減輕與網絡威脅相關的風險。然而,云時代下企業網絡涵蓋了內網、數據中心、云等多個區域,在如此復雜的網絡環境中,實現這一目標并非易事。零信任網絡安全建設要求企業重新審視企業網絡的組成和彈性要求,加強底層基礎設施、容器、微服務和云平臺的網絡安全管理,通過與現有安全程序和工具的無縫集成,為企業提供更強大的網絡安全能力,以應對日益復雜的威脅環境變化。

審核編輯 黃宇

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 網絡安全
    +關注

    關注

    10

    文章

    3155

    瀏覽量

    59701
  • 數據中心
    +關注

    關注

    16

    文章

    4761

    瀏覽量

    72034
收藏 人收藏

    評論

    相關推薦

    網絡隔離邊界安全接入技術

      各類產品的優缺點   隨著互聯網與網絡技術的不斷發展與越來越廣泛深入的應用,以及網絡建設的復雜網絡
    發表于 10-09 10:03 ?1922次閱讀
    <b class='flag-5'>網絡</b><b class='flag-5'>隔離</b><b class='flag-5'>邊界</b>安全接入技術

    網絡隔離邊界安全接入技術

    隨著互聯網與網絡技術的不斷發展與越來越廣泛深入的應用,以及網絡建設的復雜網絡邊界安全與
    發表于 12-02 17:22 ?695次閱讀

    如何去打造信任網絡

    支持信任網絡安全技術近年來正在迅速發展,為信任的落地提供了豐富而實用的工具、框架和方法。
    發表于 03-21 20:33 ?1178次閱讀

    信任安全技術的特性和軟件定義邊界的架構

    信任安全是一種IT安全模型。信任安全要求對所有位于網絡外部或網絡內部的人和設備,在訪問專用
    的頭像 發表于 05-05 21:08 ?4623次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b>安全技術的特性和軟件定義<b class='flag-5'>邊界</b>的架構

    中汽中心開展車聯網網絡信任體系建設,助力我國汽車產業的發展

    上線活動由中汽中心副總經理吳志新主持,吳志新表示構建統一的網絡信任體系、搭建自有的網絡信任支撐平臺具有重要意義,是解決當下車聯網
    的頭像 發表于 09-06 10:25 ?1441次閱讀

    詳談安全訪問服務邊緣和信任網絡訪問并重

    網絡安全架構的最佳實踐如今正在經歷巨大的轉變。業界人士不再將邊界保護作為網絡架構的主要焦點,而這一趨勢似乎已經開始了。因為信任
    的頭像 發表于 02-17 16:16 ?2672次閱讀

    芯盾時代基于信任的數據安全管理體系建設思路

    ,分享了芯盾時代基于信任的數據安全管理體系建設思路,圍繞銀行業數據安全的監管趨勢、技術難點、應用場景和行業標準展開了深入交流和探討。 隨著數據采集手段和渠道多元
    的頭像 發表于 01-14 16:38 ?2791次閱讀

    IP百科知識之信任

    信任是一種安全模型,基于訪問主體身份、網絡環境、終端狀態等盡可能多的信任要素對所有用戶進行持續驗證和動態授權。
    的頭像 發表于 09-06 09:36 ?3464次閱讀

    統信OS &amp; 芯盾時代丨強強聯手,共建信任業務安全防護體系

    邊界的態勢越發明顯,一系列的業務安全問題隨之而來。在此背景下,以身份為核心構建安全邊界、“持續驗證、永不信任”的信任安全架構,成為了企業
    的頭像 發表于 06-15 10:15 ?685次閱讀
    統信OS &amp; 芯盾時代丨強強聯手,共建<b class='flag-5'>零</b><b class='flag-5'>信任</b>業務安全防護<b class='flag-5'>體系</b>

    信任體系化能力建設(1):身份可信與訪問管理

    網絡、應用與工作負載、數據等不同領域分析信任能力建設的內容、方法和趨勢,討論
    的頭像 發表于 07-31 11:32 ?560次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>體系化</b><b class='flag-5'>能力</b><b class='flag-5'>建設</b>(1):身份可信與訪問管理

    信任體系化能力建設(2):設備風險與安全監控

    為了提高工作效率和靈活性,現代企業允許各種類型的終端設備連接并訪問企業的應用程序和數據資源,為企業網絡帶來了巨大的安全挑戰。作為信任安全能力建設
    的頭像 發表于 08-17 10:57 ?365次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>體系化</b><b class='flag-5'>能力</b><b class='flag-5'>建設</b>(2):設備風險與安全監控

    信任體系化能力建設(4):應用安全與開發部署

    (ZTNA)通過身份認證和訪問控制機制來保護業務應用和資源,然而這些措施并不能為應用提供更全面的保護,例如SQL(或代碼)注入、遠程指令執行、容器權限逃逸等。本文從信任安全能力體系化
    的頭像 發表于 08-24 16:33 ?439次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>體系化</b><b class='flag-5'>能力</b><b class='flag-5'>建設</b>(4):應用安全與開發部署

    信任體系化能力建設(5):數據安全與控制跟蹤

    交叉的數據來自于不同的源頭,并由不同機構和人員以不同的方式處理,要確保所有數據在不損失安全、隱私和合規性的前提下,最大限度地傳播共享以發揮效用,需要從戰略層面對數據進行思考、規劃和治理。本文從信任安全能力的體
    的頭像 發表于 08-28 10:30 ?325次閱讀
    <b class='flag-5'>零</b><b class='flag-5'>信任</b><b class='flag-5'>體系化</b><b class='flag-5'>能力</b><b class='flag-5'>建設</b>(5):數據安全與控制跟蹤

    以守為攻,信任安全防護能力的新范式

    (Zero Trust Security)被提出,并逐漸成為提升網絡安全防護能力的新范式。本文主要探討攻擊路徑的演變、信任體系在各個階段的
    的頭像 發表于 05-27 10:18 ?967次閱讀
    以守為攻,<b class='flag-5'>零</b><b class='flag-5'>信任</b>安全防護<b class='flag-5'>能力</b>的新范式

    芯盾時代入選《現代企業信任網絡建設應用指南》

    近日,國內知名網絡安全媒體安全牛重磅發布了《現代企業信任網絡建設應用指南(2024版)》報告(以下簡稱“報告”)。芯盾時代憑借在
    的頭像 發表于 08-28 09:45 ?472次閱讀
    主站蜘蛛池模板: 国产在线高清亚洲精品一区| 日本xxx在线观看免费播放| 99久久精品国产自免费| 视频成人永久免费看| 久久久青青| 成人国产在线观看| 亚洲无遮挡无码A片在线| 欧美日韩一区二区三区四区| 国产精品三级在线观看| 97SE亚洲国产综合在线| 小色哥影院| 青草久久影院| 黄色三级网站在线观看| 被送到黑人性奴俱乐部| 亚洲欧洲日产国产 最新| 日韩AV爽爽爽久久久久久| 久久理论片迅播影院一级| 国产精品JK白丝AV网站| 99久久久无码国产AAA精品| 亚洲免费综合色视频| 日本阿v直播在线| 久久偷拍国2017的| 国产偷国产偷亚洲高清人乐享| MATURETUBE乱妇| 伊人久久大香线蕉无码麻豆| 忘忧草在线影院www日本| 欧美另类老女人| 久久一er精这里有精品| 国产亚洲国际精品福利| 岛国片在线免费观看| 97视频视频人人碰视频| 一个人的视频在线观看免费观看 | 福利社的阿姨| 97超视频在线观看| 伊人久久大线蕉香港三级| 亚洲精品一卡二卡三卡四卡2021 | 精品国产乱码久久久久久免费 | 补课H湿 1V1 PLAY| 91嫩草视频在线观看| 在线播放无码字幕亚洲| 亚洲妈妈精品一区二区三区|