博客 安全

Approaching 零信任 – Part One: Don’t Talk to Strangers

Tim Harrison 首席技术官办公室主任 2020年10月13日发布

世界是一个美丽而鼓舞人心的地方。这里有文化和美食,语言和笑声,音乐和欢乐。但是,我们告诉我们的孩子不要与陌生人说话,因为这个世界上到处都是人,他们可能没有最好的意图。我们必须通过与他人的互动来赢得并维持信任。

如果您愿意,请想象一下一个乌托邦式的场景,在该场景中,身份始终得到确认,而且没有人访问过他们不信任的数据’没有许可。没有理由冒充其他用户或从他人那里获利’的工作或知识产权。仿冒网站只是对田园娱乐的一种错误拼写。每个人都可以互相交谈,而无需怀疑的概念。一世’确保现在在多重宇宙中存在这种情况!但是那个’在这个特定的宇宙中,这不是我们的现实。

但是,认真地,请花一点时间考虑一下乌托邦式的情景对您和您的环境意味着什么。您有信心可以信任自己的基础架构吗?您是否可以相信通过该基础架构传输的数据是安全的?您确定遍历您的基础结构的用户就是他们所说的吗?您是否有信心在网络中拥有所有必要的可见性,以了解这些用户的去向以及他们所使用的数据’re accessing?

It’s a bit of a terrifying thought.  It makes that utopian view seem rather naïve.  Enter 零信任.

I’m sure you’我们曾经听说过“零信任”或“零信任网络架构”一词。’在业界成为流行语。有些人声称自己有一个理想的软件来实现它,而您可以忽略现有的基础架构。有人声称,如果您扔掉整个网络堆栈并购买它们,您会’将被允许​​进入零信任网络的神圣殿堂。甚至有人相信,只要您命名捆绑商品“Zero Trust”, it will be so!  A vendor could splash 零信任 across any product, but without understanding what it means and why it’对您来说很重要,这将是重定向您的支出的另一种方式。

My goal here is to provide you with some initial guidance so you can start to think about how 零信任 impacts you.

Demystifying 零信任 – What It Is and 是什么’t

让’s start by demystifying what 零信任 is – and 不是’t. 

是什么’t!

I’我将从一个可能引起争议的陈述开始:

Absolute 零信任 doesn’t exist!

“But Tim,” I hear you cry, “isn’这与您的前提背道而驰吗?” In fact, no, it 不是’t.  Absolute 零信任 would mean that everyone and everything is untrusted, and no one could pass traffic on the network to resources which wouldn’禁止接收任何人的流量!但是那’既不合理也不合逻辑,也无法使您获取电子邮件!

Practically, there must be a fundamental trust relationship formed at some point to allow a user or device to communicate with resources.  We can only *approach* 零信任 because of the need to create an initial trust relationship between a user and a resource and to continually assess that trust.  The negotiation and maintenance of identity are at the crux of 零信任.

Now, most notably for the buyer, 零信任 is NOT a single product that a vendor can sell you that suddenly transforms your environment into a 零信任 network architecture.

这是什么!

零信任 is a concept; a set of guiding principles – as NIST defines it – for workflows, system design, and operations that can improve the security posture of your environment.  More specifically, 零信任 Network Architectures are designed to explicitly validate a user’身份,使该用户能够安全地访问特定资源,不断验证该身份,并假定任何人或其他任何事物都不可信。

听起来不错,对吧?用简单的语言来说,这意味着一旦网络知道您是谁,您就可以查看和访问您被授予权限的资源。其他一切都是禁止进入的。如果您以某种方式破坏了这种信任,则将需要重新验证您的身份(也许使用多因素身份验证甚至是生物特征识别),否则您的访问可能被阻止或禁用。这就是为什么我们说唐’不要和陌生人说话。一旦建立了您的身份,您将不再是这些资源的陌生人,而他们’愿意与您愉快地交谈。假设您的行为使您的身份无效,例如发送恶意流量,尝试访问您不为此访问的资源’没有权限。这些资源将停止与您交谈。

此外,资源应该是黑暗的(意味着:您可以’看不见它们,即使它们在那里)那些没有的人’已被识别,即使如此,也只有那些应用允许访问策略的用户才能访问。有线和无线网络基础设施就是一个很好的例子。如果你’在您的“零信任”评估中不包括您的网络基础架构,’没有解决这个概念的关键要素。没有人需要了解您的基础架构或访问它进行管理的方式。同样,您的有线和无线基础架构还可以帮助实现零信任的要素,从访问控制到安全的超级分段,再到飞行中的流量分析。您的基础架构可以帮助您评估身份的有效性,隔离和保护用户流量,并为您提供更深入的了解’通过网络,同时对潜在的攻击者保持隐藏。

接下来是什么?

在下一篇文章中,我们’ll look at the business value of 零信任 and how you can start taking the first steps on the journey toward adopting 零信任 with 极限网络as your partner.

将最新故事直接发送到您的收件箱!

相关企业故事