零信任是超过产品
据KuppingerCole的Lead分析师John Tolbert称,身份,而不是网络,在零信任安全模型的中心。
“很多人将这种方法与网络联系起来,但零信任是真正的建筑设计原则,”他每周告诉电脑。
“虽然零信任安全模型绝对适用于网络级别,但它是关于应用身份概念 - 特别是身份验证和授权。”
这确保了企业内的所有流量都被正确认证和授权,无论是来自虚拟专用网络(VPN)连接的外部,应用程序与网络上的其他应用程序交谈,或者尝试使用用户在网络上的应用。
“所有这些方案都应包括身份上下文和允许基于策略的允许或阻止该连接的能力,这就是为什么身份基本上在零信任原则的中心,这是关于知道谁请求连接以及它们的连接应该允许制作,“托尔伯特说。
“您希望能够查看流量并说'如果此用户能够在此服务上执行此操作或移动此文件,并且所有流量都必须经过身份验证和授权。
“如果您首先将身份管理的核心概念结合在网络级别,那么即将开始看到零信任的地方真的进入存在,”他说,注意到独自关注网络并考虑零信任“完成”只需完成网络分段项目。
“[零信任安全性]比将您的财务数据转移到一个单独的VLAN [虚拟局域网]并将其放在防火墙后面,但您必须比这更深,而且我担心有时组织忽视了更大的画面。
“因此,虽然网络分割和VPN现代化既是一个很好的开端 - 因为你可以将最敏感的数据放在单独的段中,并在它们之间放置VPN或IPSec隧道并在任何一侧验证流量 - 你不能停止那里。
“你必须能够监控所有流量,了解什么是正常的,应该根据您想要碰巧启用业务的策略,然后能够阻止其他一切。”
TOTBERT表示,最有权的原则也在零信任的核心。“应用这个原则是关于允许用户只做他们需要做的事情来完成他们的工作,但在过去,当建造了许多公司IT网络时,一个防火墙被置于外围,但所有的服务器和用户在一个平局[局域网]上。
“问题是没有人停止考虑服务器之间移动的流量,因此如果用户可以在网络上完全访问服务器,他们能够对任何事情做任何事情,因为途中没有太多访问控制。“
从那时起,组织越来越了解需要将更多的控件放置到适当的地方来识别和阻止网络上的恶意行为者,即托尔伯特,并在没有网络和服务器级访问控制的平面网络上添加的任何人都有更多的风险两个内幕和外部攻击。
“应用最小特权的原则确保只需要访问敏感信息的人才允许任何访问包含它的服务器,以便到所有其他用户,该服务器无法访问甚至不可见,并且这可以将其推断为云服务。”
将最合义的原则应用于安全性零安全方法的一部分,说Tolbert,也有助于减少不满的内部人员以及外部攻击者的机会主义攻击的可能性,指出内部人员和外人之间的线路正在继续模糊由于公司网络必须更易于偏远工人,合作伙伴,供应商甚至客户。
“如果内部或外部攻击者正在浏览网络,但无法看到数据存储连接到网络,则它们将瞄准该信息并找到访问它的方法较少。”
虽然零信任方法不会阻止网络罪犯在违反网络违反网络中移动,但是一旦他们违反了网络,但托尔贝特表示零信任意味着攻击者在他们之前必须窃取更多更多的凭据能够在没有限制的情况下围绕网络移动。
“这将使它们减慢并强制他们在窃取凭证以访问数据时进行更多尝试 - 特别是最敏感的数据类型,这通常需要更高级别的身份验证,不依赖于用户名和密码。”
观察到越来越多的安全技术供应商根据零信任原则,托尔贝特重申零信任是一种设计原则,并且只需购买标签的产品即可达到或实施。
“实现零信任模型通常涉及几个不同的安全相关项目,并部署诸如网络分段,网络检测和响应之类的事物的组合,以及网络流量分析,以确定网络会话是否经过身份验证和授权,并关闭那些网络会话不是。
“您可以购买特定产品以使您的企业零信任。它是通过减少在寻求建立联系的所有实体中的信任并要求他们在基于政策授予适当的授权之前正确验证的所有实体来提高安全性。“
托尔伯特是在题为身份的会议上更详细地讨论这些主题在零信任的中心,而不是2019年欧洲身份和云大会的网络,从14日到17日在慕尼黑。
他将加入关于在Ping Identity的首席客户信息优惠的Richard Bird的安全设计和模型中放置身份的小组讨论,以及Sailpoint的高级身份证策略师David Lee。