城堡与护城河模型通过创建硬化的外部边界,使企业免受外部攻击,而内部却是柔软且易受攻击的。在此模型中,所有在本地和网络上工作的员工都已经通过了外围安全保护。这些用户默认情况下位于网络上,并自动分类为“受信任”,从而获得对企业应用程序的完全和横向访问。但是,如果用户在网络上感染了设备怎么办?这是否意味着东西方运动将使抵抗力有限的水平进攻(例如WannaCry)成为可能?
那么,当远程用户虚拟私有网络进入网络以访问内部应用程序时,这种固有的信任意味着什么?
•虚拟私有网络通过防火墙引导用户—您的防火墙使有害物远离您的网络;但是,您的虚拟私有网络会引导用户通过防火墙,而不验证用户或检查其状态。
设备上的安全漏洞,并增加风险
•由于IP暴露于Internet,因此可检测到网络-用户通过入站连接连接到网络。这意味着网络IP暴露在Internet上,因此任何人都可以ping通网络架构,无论是否经过授权。这些可见的IP为基于Internet的攻击(例如DDoS)创建了漏洞点。
•一旦进入网络,远程用户就被视为受信任的—一旦远程用户通过虚拟私有网络进入网络,它们便被视为“受信任”。他们是否值得信赖尚不得而知,但是远程用户仍被授予横向网络访问权限。攻击的表面积增加了,而网络安全则有效地交给了远程用户及其设备。
虚拟私有网络的基础建立了暴露点,并使网络容易受到攻击。随着对其他安全措施的需求增加,我们今天看到的大量入站安全堆栈中找到的设备数量也随之增加。
事实是,虚拟私有网络授予用户过多的信任,并且随着企业希望实现零信任网络,消除固有的信任只是确保私有应用程序访问安全的第一步。企业需要一种可在网络上运行的现代远程访问解决方案。有条件的自适应信任基础。
零信任网络访问(ZTNA),也称为软件定义的外围(SDP),无需虚拟私有网络即可提供对私有企业应用程序的安全访问。ZTNA基于自适应信任模型,在该模型中,信任永远不会隐式,并且访问是在“需要知道”(由细粒度策略定义)的最小特权基础上进行的。然后,按照Gartner的CARTA方法的建议,对访问权限进行监控,以进行持续的风险评估。由于ZTNA解决方案是100%定义的软件,因此不需要物理设备,但可以部署在任何环境中以支持所有REST-API应用程序。
ZTNA的四个原则
ZTNA将提供应用程序访问的行为与网络访问完全隔离开来。这种隔离减少了网络风险,例如被受感染的设备感染,并且仅向授权用户授予应用程序访问权限。
从应用程序到用户的由内而外的连接可确保未经授权的用户看不到网络和应用程序基础结构。IP永远不会暴露于Internet,从而形成“暗网”,并使网络无法找到。
应用程序细分可确保一旦获得用户授权,就可以一对一地授予应用程序访问权限,以便授权用户只能访问特定的应用程序,而不能完全访问网络。
ZTNA采用用户到应用程序的方法,而不是以网络为中心的方法来实现安全性。利用端到端的加密TLS微隧道而不是MPLS,网络不再受到重视,互联网成为新的公司网络。
ZTNA作为独立产品
独立产品要求客户部署和管理产品的所有元素。此外,多家IaaS云提供商还为其客户提供ZTNA功能。无论您位于数据中心还是云环境中,ZTNA都位于您环境的边缘,并代理用户与应用程序之间的安全连接。
好处包括:
•客户可以直接控制和管理其ZTNA基础架构,这可能是合规性需求所必需的
•本地托管的物联网服务可受益于优化的速度
•如果本地用户不必连接到Internet即可访问本地托管的应用,则可以提高性能速度
ZTNA作为云服务
另一个选项是ZTNA即服务。这是一项云托管服务,客户可以利用供应商的云基础架构来执行策略。企业只需购买用户许可证并部署轻量级连接器即可在所有环境中使用前端应用程序;供应商满足连接性,容量和基础架构的需求。访问是通过用户与应用程序之间的代理式由内而外的连接建立的,从而有效地将应用程序访问与网络访问脱钩,而从未将IP暴露给互联网。
好处包括:
•易于部署,因为无需部署ZTNA网关
•简化管理,因为服务不在本地托管
•始终为所有远程和本地用户的全球覆盖选择最佳途径
为什么ZTNA是强大的虚拟私有网络替代品
•为远程用户提供更好的用户体验。没有登录和注销的概念;取而代之的是,访问是连续的,而与网络连接的更改无关。
•减少用户的延迟,从而加快访问速度并提高生产率。
•始终快速访问,无论用户是远程用户还是总部用户。
•由内而外的连接可保持网络秘密的位置,同时使应用程序能够访问网络内的各个应用程序。这种方法可优化连接性并最大程度地减少延迟。相反,使用虚拟私有网络,从虚拟私有网络客户端>到虚拟私有网络集中器>的入站连接直接进入网络。
•ZTNA使用微隧道优化了从每个用户到每个应用程序的流量路径。这些隧道是根据每个会话按需创建的。因此,如果用户希望同时甚至从另一个设备访问另一个私有应用程序,则ZTNA会启动不同的微隧道.VPN为每个用户使用一条隧道运行所有应用程序。
•应用程序访问与网络访问分离。ZTNA摆脱了以网络为中心的安全性,而是专注于保护用户和应用程序之间的连接。
•访问是一对一授予的,仅允许授权用户访问特定的应用程序。横向移动是不可能的,并且减小了攻击面。
•网络和应用程序被隐匿于未经授权的用户,并且IP从不公开,从而减少了基于Internet的攻击的威胁。
•ZTNA是100%基于软件的,易于部署。无需安装,配置和管理设备,但ZTNA也可以与虚拟私有网络一起部署。
•ZTNA并非以IP地址为中心,因此无需管理ACL,防火墙策略或翻译。
•可以在应用程序和用户级别应用粒度策略,从而为应用程序提供高度集中的安全性,并为用户提供最低特权的访问。
•ZTNA增强了对以下方面的可见性:
•通过实时日志流进行用户活动
•以前未被发现的应用程序
•环境健康监测
ZTNA需要考虑的因素
在将ZTNA用作VPN替代方案时,您需要考虑两件事:
您现有的环境
花一点时间考虑组织的现有环境。考虑一下您的生态系统及其在满足业务需求方面的有效性。要考虑的一些问题包括:
•访问私有应用程序(对等,SIP等)必须支持哪些协议,因为ZTNA并不支持所有协议
•您的企业应用程序位于哪里?
•您的用户在哪里?
•谁在尝试访问应用程序?员工,第三方用户等?
•您对您的解决方案满意吗?
•您的用户对您的解决方案满意吗?
根据对这些问题的回答,可以确定业务的当前需求,尤其是当前解决方案无法执行的领域。借助这些信息,您可以确定哪些地方需要改进?
您未来的环境
现在考虑一下您的公司在不久或将来的前景如何,以及它的需求是什么。
要考虑的一些问题包括:
•企业正在成长吗?未来是否存在并购(M&A)?
•是否会有其他应用程序和用户?用户消费会改变吗?
•分支机构位置将访问云应用程序吗?
•容量和可用性需要什么?
•云采用会增加吗?您需要采用混合策略还是多云策略?
考虑到这些注意事项,您是否认为当前的远程访问服务可以满足组织的数字化需求?如果没有,您可能需要考虑ZTNA服务。
来源:网络与安全札记
城堡与护城河模型通过创建硬化的外部边界,使企业免受外部攻击,而内部却是柔软且易受攻击的。在此模型中,所有在本地和网络上工作的员工都已经通过了外围安全保护。这些用户默认情况下位于网络上,并自动分类为“受信任”,从而获得对企业应用程序的完全和横向访问。但是,如果用户在网络上感染了设备怎么办?这是否意味着东西方运动将使抵抗力有限的水平进攻(例如WannaCry)成为可能?那么,当远程用户VPN进入网络以访问内部应用程序时,这种固有的信任意味着什么?•VPN通过防火墙引导用户—您的防火墙使有害物远离您的网络;但
传统的基于边界的
网络
保护将普通用户和特权用户、不安全连接和安全连接,以及外部和内部基础设施部分结合在一起,创建了一个可信区域的假象,很多潜在的安全问题无法解决,越来越多的企业开始转向
零信任
网络
访问来解决这个问题。
随着云计算、
虚拟
化、物联网 (IoT)、BYOD概念以及远程办公的蓬勃发展,移动设备数量剧增,
网络
的边界正变得越来越模糊。不仅内部系统和设备必须受到保护,外部系统和设备也需要额外的防御层。因此,传统的以边界为中心的方法正逐渐被淘汰。
零信任
概念
2010 年,Forrester Research
全球领先的企业软件创新者VMware(NYSE:VMW) 本周在VMworld 2020大会上发布VMware Future-Ready Workforce解决方案,提供卓越的员工办公体验和端到端
零信任
安全控制,同时简化管理。通过结合VMware安全访问服务边缘(SASE)、数字化工作空间和端点安全技术,VMware帮助IT组织管理和优化各类设备对所有云端应用的安全访问,同时为分散式办公需求提供更简单安全和高性能的用户体验。
VMware产品和云服务首席运营官Rajiv Ramaswami表示:“企业正在
零信任
说明
摘抄了一段说明,
ZTNA
也称为软件定义边界(SDP),它在一个或一组企业应用程序周围创建基于身份和环境的逻辑访问边界。企业应用程序被隐藏,访问这些企业应用程序的实体必须经过信任代理。在允许访问之前,代理网关先验证指定访问者的身份,环境和是否遵守访问策略。这将企业应用程序从公众的视线中移除,并大大减少了攻击面。
实际上,
零信任
并不是一种新的技术突破,个人也比较认同是一种新的安全防御理念,技术上讲,并不难实现,主要是这种安全模型的提出,强化了内网安全防御的壁垒,换句话说,对于恶意入侵的黑客来说,直
如果要问安全行业从业者,近三年最热门的话题是什么,大家一定不约而同地选择“
零信任
”。随着国内各大安全厂商纷纷推出
零信任
安全产品及解决方案,大大小小的
零信任
安全初创公司层出不穷,
零信任
俨然已经成为当今
网络
安全领域最火热的明星,实属
网络
安全“顶流”。
一、风起微澜:从0到1的探索
2004年,一些企业安全专家在Jericho论坛上提出,在复杂的企业
网络
中,
网络
边界的概念逐渐模糊和消失。一部分人认为,以防火墙为代表的传统边界安全设备已经成为
网络
发展的阻碍,应该将企业网中的边界消灭,即“去边界化”;另一部分人则认为
未来的安全趋势是
零信任
网络
。
传统的基于边界的
网络
安全方法是先连接,后信任,在
网络
边界验证用户身份,确定用户是否值得信任。如果用户被认定为是可信任的,就能进入
网络
,而一旦通过边界进入到
网络
内部,访问基本就通行无阻了。反之,用户会被拦截在外。这种保护方式有很多种称谓:城堡护城河式保护,类似于中世纪的城堡一样,防外不防内,或者蜗牛式保护,外壳坚硬而内部柔弱。
传统
网络
安...
软件定义边界(SDP),也被称为“黑云(Black Cloud)”,是一种新的计算机安全方法,它是由2007年左右DISA在全球信息网格(GIG)
网络
倡议下所做的工作内容演变而来,后来被云安全联盟(Cloud security Alliance)采纳并用于联盟成员。
SDP要求在获得对受保护服务器的
网络
访问之前,先对端点进行身份验证和授权。然后,在请求系统和应用程序基础设施之间实时创建加密连接。...
数字业务的现实是,它需要随时随地访问任何应用程序,而不管用户及其设备的位置如何。而
ZTNA
(
零信任
网络
访问)恰恰使能了本不适合传统访问方法的数字业务转型场景。尤其是对于那些寻求更灵活、更具响应性的方式与数字业务生态系统、远程工作者、外部合作伙伴进行连接和协作的组织,
ZTNA
再适合不过。
ZTNA
削弱了
网络
位置的优势地位,消除了过度的隐式信任,代之以显式的基于身份的信任。从某种意义上说,
ZTNA
创建了个性化的“
虚拟
边界”,该边界仅包含用户、设备、应用程序。
ZTNA
还规范了用户体验,消除了在与不在企业
网络
中所存
网络
安全模型:ATT&CK、
零信任
、自适应安全架构
Gartner提出Adaptive Security Architecture(自适应安全架构)、Forrester提出Zero Trust(
零信任
模型)、MITRE提出ATT&CK(Adversarial Tactics Techniques & Common Knowledge 对抗战术技术和常识)。
Gartner和Forrester是两家世界著名的信息技术领域的咨询公司。MITRE是美国政府资助的一家研究机构,该公司于1
项目经理正在管理一个项目,某供应商负责采购最终组装所需的一种重要材料,但在进入组装阶段时却发现这种重要材料的交货跟踪记录不翼而飞,而且这种材料尚未装运。如果这种材料未按估算的交货时间运达,这可能会导致
在设计阶段进行的一项分析表明,项目可能在财务方面不可行。项目经理应该审查什么?
项目关键路径上的任务所需的设备交付延迟了两个星期。项目经理应该做什么?
