零信任的7大支柱

网络攻击日益频繁，现代网络也变得越来越复杂。传统的网络安全模型已经不再能够有效应对这些威胁。根据Gartner在2024年发布的报告，有63%的组织已经采用了零信任策略来应对这些威胁。本文探讨了零信任策略的关键要素，阐述了该策略如何保护访问权限、降低风险，以及提升组织的网络安全水平。

什么是零信任安全？

传统的“城堡与护城河”网络防护模型，强调的是保护网络的边界，就像城堡周围的城墙一样。网络内的任何人都可以被信任，无需进行进一步的验证，就像在城堡内的人一样。然而，如果攻击者成功突破这些防御措施，那么整个系统就会变得脆弱不堪。

零信任安全策略改变了对资源访问的管理方式。与其采用传统的“城堡与护城河”模型，不如采用其他更有效的管理方式。零信任框架认为，没有任何用户或设备可以被默认信任。.

在零信任模型中，系统会检查每一次访问尝试。用户的访问权限是根据计算出的风险来决定的，而这些风险会随着用户的行为或数据的敏感性而发生变化。

这就像是在建筑物的每一扇门处都进行身份验证一样，而不仅仅是在入口处。这样做确实很有帮助。如果发生网络攻击，那么需要限制攻击者在网络内的活动范围。

零信任架构的7大支柱

零信任架构依赖于一些被称为“支柱”的关键要素。2024年，美国国家安全局为国家安全体系、国防部、国防工业基地以及其他机构发布了关于这些支柱的指南。该报告建议各机构利用这一框架来降低风险，并能够快速识别和处理网络威胁。

1. 用户属性/特征

网络攻击往往针对身份与访问控制方面的漏洞。2015年人事管理局的数据泄露事件，以及2021年Colonial Pipeline公司的攻击事件，都揭示了这些漏洞的存在。在这些案例中，多因素认证并未得到充分运用，从而导致了用户信息的泄露。

那个用户支柱通过加强身份管理和访问控制，可以有效防范这类威胁。具体做法如下：

• 身份管理创建并保护数字身份。对于组织来说，以下是一些有用的步骤：
  • 请记录所有员工的名单，尤其是那些拥有特殊权限的员工。
  • 使用单一的身份验证系统，以避免出错。
  • 取消那些更换工作或离职的员工的访问权限。
• 凭证管理妥善保管密码和密钥，确保其始终处于最新状态。
  • 可以根据每位员工的工作职责来分配不同的密码，比如为不同的工作区域分配不同的密钥。
  • 记录所有的密码；务必删除那些不安全或已经过期的密码。
  • 使用多因素认证可以加大攻击账户的难度。
• 访问管理它控制着谁能够进入某些区域，只有符合条件的人才能进入这些区域。
  • 采用“最小权限访问”原则，确保员工只能获取他们真正需要的信息。
  • 定期检查并删除不必要的访问权限。
  • 仅在对特定需求有需要时，才允许短暂访问。

简而言之，身份管理的工作流程始于准确列出所有用户的信息，包括人类用户和非人类实体。凭证管理则涉及到多因素认证机制，同时负责处理与公司用户相关的凭证的发放、使用以及撤销等操作。而访问管理则旨在限制用户的访问权限，确保员工只能获取他们真正需要的信息。

2. 设备支柱

该设备管理功能确保所有试图访问系统的设备都处于安全状态。设备需要经过识别、审核，并根据风险评估来决定是否允许其访问系统。只有符合安全规则的设备才能获得完整的访问权限。如果某个设备不符合这些规则，那么该设备将被限制或完全无法访问该系统。

关键部分/重要组成部分设备支柱包括：

• 设备清单。列出所有设备，确保库存信息保持更新，同时阻止那些未经授权的设备的访问。
• 设备检测与合规性检查。确保每台设备都遵循相关的连接安全政策。
• 设备授权。仅允许那些具备实时威胁监控功能的设备使用此服务。
• 远程访问保护。为安全的远程访问设置访问规则。
• 自动化漏洞管理。识别并更新那些存在风险的薄弱环节，以降低风险。
• 集中化的设备管理。控制并保护所有设备，包括那些远程控制的设备。
• 终端威胁检测。找出并解决与网络安全相关的设备问题。

这样就能确保有相应的安全工具来保护零信任架构中的设备。

3. 网络与环境支柱

例如：2013年，一家美国零售公司因缺乏有效的网络隔离措施而遭遇了严重的数据泄露事件。攻击者获得了某家负责为多家门店提供暖通空调系统的公司的登录信息。这家公司能够访问零售公司的网络，从而监控其能源和温度状况。

攻击者利用这些凭据在销售点系统中植入恶意软件，并窃取了大约4000万张借记卡和信用卡的数据。虽然这家暖通空调公司需要网络访问权限，但通过使用更有效的网络分段和访问控制措施，本可以避免这种攻击。

传统的网络安全措施主要集中在构建网络防御体系上。然而，一旦用户、应用程序和设备进入网络内部后，它们往往能够访问许多资源。如果某个用户被黑客攻击，那么攻击者就可以获取重要的系统信息。

为了保护网络安全，NSA建议遵循以下步骤：

• 地图数据正在流动中。识别公司内部的数据传输路径，并通过VPN技术确保未加密的数据传输的安全性。
• 宏观细分。将网络划分为多个主要区域，从而限制访问权限，并减少攻击的扩散范围。
• 微细分.在各部门内部实施更严格的管控措施，以阻止威胁的扩散。
• 软件定义网络（SDN）。利用SDN实现集中式控制

这些步骤基于零信任原则，有助于降低风险。为了确保构建出一个强大的零信任架构，需要重点关注访问控制、网络分段以及安全工具的使用。

4. 数据支柱

零信任安全模型通过数据分类、标记以及加密等方式来保护数据。持续性的检查措施确保了数据的安全性。

NSA建议采用强大的数据保护机制，以减少数据泄露的发生，并能够迅速发现潜在问题。

• 数据目录与风险分析。识别并列出各种数据类型，然后评估相关风险以及可能导致的损失。
• 数据治理。可以控制哪些人可以使用这些数据，同时确保遵守各项安全政策。
• 数据标签。通过标记数据来提升控制能力和意识水平。
• 数据监控。记录哪些用户访问了数据，以及这些数据是如何被使用的。
• 数据加密与权限管理。通过标签对数据进行加密，并使用数字版权管理技术来阻止未经授权的操作。
• 数据丢失预防（DLP）。使用DLP工具来阻止未经授权的数据使用或共享行为。
• 数据访问控制。根据数据类型和用户角色来限制访问权限。

5. 应用与工作量方面

“应用程序与工作负载保障”这一机制通过限制对关键资源的访问来确保应用程序的安全。它遵循“最小权限原则”。零信任框架中的其他安全措施则能够防止未经授权的访问或篡改行为。这样，无论是在本地还是云环境中，应用程序和工作负载都能得到保护。

以下是使用零信任安全模型来保护应用程序和工作负载的关键步骤：

1. 列出环境中所有的应用程序和工作负载。
2. 实施强大的身份验证机制以及具体的访问控制措施。
3. 采用最小权限原则来限制访问权限
4. 采用微细分策略来阻止威胁的扩散。
5. 监控异常情况，并记录可疑行为。
6. 在数据传输和存储过程中对数据进行加密处理。
7. 定期更新应用程序和工作负载。
8. 通过扫描、限制访问权限以及保护机密信息来确保容器的安全性。
9. 通过身份验证、授权和加密来保护API安全。
10. 进行安全评估，以修复其中的漏洞。
11. 确保应用程序符合相关的法规与标准。
12. 在部署之前，先对IT解决方案的安全性进行评审。

6. 可见性与分析功能

在零信任框架中，可视性与分析功能有助于提升威胁检测能力以及做出更明智的安全决策。该框架能够实时监控网络活动，收集有关各个组件的健康状况、状态以及行为数据。其他相关功能的日志数据则能提供更深入的洞察力。

这一支柱能够更快速地应对威胁、开展调查，并确保符合相关法规要求。因为它能够全面展示网络活动的情况。

可见性与分析功能的关键组成部分：

• 日志活动记录。将来自各种设备、应用程序以及数据源的重要日志信息集中存储在一个地方。
• 集中式安全信息与事件管理系统。通过仪表板和计划来收集、分析安全数据，并据此发出警报。
• 安全分析。通过设置信息、弱点以及威胁数据来检测资产风险。
• 用户和实体行为分析（UEBA）。利用人工智能技术，从大量日志数据中识别出不寻常的用户行为。
• 威胁情报。利用外部威胁数据来实现早期检测
• 动态策略。利用人工智能、实时数据以及自动更新功能来实施智能政策。

7. 自动化与编排功能

自动化与协调功能使得在整个系统中能够快速地执行基于规则的操作。