适用于企业和组织, 零信任是您确保计算机硬件和连接设备安全的最佳选择, y la protección de los empleados.
零信任不是一个新概念. Sin embargo, 大流行和向更加数字化的社会的转变凸显了以前未被注意到的问题, 让零信任安全成为热门话题.
如今,连接到物联网(IoT)的设备比以往任何时候都多. 这些设备旨在提供单一的服务和, por desgracia, 安全不是设备的首要任务. 由于缺乏内置安全性,物联网设备容易受到攻击, 创建一个潜在的路径到一个组织的整个网络.
随着企业踏上数字转型之旅, 您的网络基础设施必须是安全的. La segmentación de la red, 零信任安全原则, permite prevenir los ataques. 一旦承诺被报告, 可以降低攻击的可能性,限制网络中的横向移动, 避免影响其他连接的系统.
Un vistazo a la confianza cero
在计算机和企业环境中, 网络分割有两种方法,取决于信任的程度. Tradicionalmente, 信任的边界是有形的和隐含的, 因此,计算机网络被防火墙保护. 这意味着,简单地说,里面的东西是不受外部的保护。. Sin embargo, 这种方法必须随着威胁风险的增加而演变。.
En el mundo de la confianza cero, 信任是动态的、可适应的,不再是假定的, ni siquiera dentro de la red. 指导原则是“永远不要相信, siempre verifique", 这就像系统中已经存在攻击者一样。. 考虑到这个原则, 第一步是网络访问控制(NAC), 对象识别和连接用户身份验证. Sobre la base de estos factores, 通过防火墙建立宏段,以过滤不同对象类和用户之间的流量. 例如,它可以隔离建筑物的监控摄像头和管理传感器。. A continuación, en base a la identificación, 段内的第二级过滤允许微调和实现微段. En este segundo paso, 我们的目标是防止监视摄像机相互通信在同一网络段。.
为什么零信任在今天如此重要
在过去的18个月里,网络攻击有所增加。, 和企业的成本是巨大的. 此外,黑客发起的恶意攻击越来越复杂。. 因为零信任要求在允许访问网络之前对每个设备和用户进行识别和身份验证, es posible contener, e incluso evitar, los ataques. 这是由于网络分割, 限制访问范围和减少攻击传播.
通过宏观分割和微观分割的智能混合, 零信任方法在每个用户和对象周围提供了一个受限的、可移动的安全边界. 组织管理网络访问控制, 定义授权(例如:, 工作站访问),并能够保护和遏制威胁, 因为网络不断寻找不适当或可疑的行为.
新的网络功能可实现零信任, 防御网络攻击的扩展和复杂程度按比例增加.
零信任网络的五个步骤
尽管从一开始就构建一个安全的零信任网络很容易(例如:, nuevas instalaciones, nueva estructura), sin embargo, 大多数公司已经有了一个网络. 这些组织面临的挑战是协调满足组织需求的方法, 同时保护它免受攻击. 以下是实现零信任的五个步骤:
1. Supervisar: Identificar todos los equipos, periféricos, 连接的设备和对所有可访问网络的人进行身份验证. 创建对象清单并自动填充.
2. Validar: 控制所有连接的设备并禁用不需要进行活动的设备, 因为他们增加了攻击的机会. 应用授予执行任务所需的最低权限的最小特权原则. 如果网络识别出不符合规定的设备, 需要启动恢复或维修计划.
3. Planear: 了解所有用户的计算机, 以及它生成的工作流和流量,将这些数据转换为安全策略,智能地结合了宏段(输入/输出控制)和微段(详细的安全规则).
4. Simular: 并行应用识别, 失败开放模式下的身份验证和安全策略:对所有计算机进行授权,并对网络行为进行记录和索引, 建立适当的授权方案和网络安全策略. 这一关键步骤将完善安全策略,同时确保正常活动不受影响.
5. Aplicar: 在最后一步,“fail open”变为“fail close”:不再容忍身份验证失败。, 拒绝所有未引用的用户或设备,并停止所有非法流. 立即进行网络监控,以确保所有设备都已被识别, 在进行安全检查时,用户已通过身份验证以获得网络授权或可能处于“隔离”状态.
En pocas palabras
零信任方法使识别流量成为可能, 在库存中自动存储对象, 创建预定的网络标准,并根据标准共享用户和物联网配置文件. 还可以确定来自中央IDS或交换机的DoS攻击, 并在有限的动态范围内选择性地对可疑流动实行隔离.
零信任为您的整个网络基础设施提供一致的身份验证策略和安全策略, 根据用户需求和相关技术实施. 宏观分割和微观分割的巧妙结合, 在违反安全标准的情况下进行隔离, 为您的网络基础设施提供最大程度的安全性. En un mundo cada vez más volátil, incierto, complejo y ambiguo, 零信任方法是您确保网络和业务资产安全的最佳选择.
Laurent Bouchoucha
网络司业务发展副总裁自豪地领导一个专家团队在:营销解决方案领域, business program management, solutions architecture, 售前和业务发展. 推动并支持实施我们在校园和数据中心网络方面的积极增长战略.
Acerca del autor
