零信任是一种安全标准,其功能遵循"从不信任,始终验证"的原则,并确保没有用户或设备受信任,无论他们是在组织网络内部还是外部。简而言之,零信任模型消除了信任组织安全边界内任何内容的概念,而是倡导严格的身份验证策略,以向安全边界内外的用户授予访问权限。
在传统的安全方法中,默认情况下,网络中的所有用户、设备和应用程序都是受信任的。网络外围在防火墙和其他本地解决方案的帮助下受到保护。这种方法的问题在于,一旦攻击者越过安全边界,他们就可以在网络内横向移动,并轻松访问网络资源。随着移动性、云采用、远程工作、自带设备(BYOD)策略和复杂网络攻击的增加,传统的安全模型已不足以保护组织资产和资源。
传统的基于边界的安全模型:外部坚硬而松脆,中心柔软而耐嚼。零信任的根本目标是消除这种软内部,并在整个网络中建立严格的安全措施。这主要是通过将重点转移到保护网络资源而不是网络边界来实现的。
传统安全模型的不足之处
随着最近远程工作者数量的指数级增长,基于边界的安全性已不再足够。由于数据和用户位于边界之外,组织的网络边界正在被积极重新定义,移动性和云采用率的快速增长导致数据和资源扩散到网络边界之外。这也适用于员工、供应商和其他服务提供商。因此,这增加了攻击面,并为攻击者使用新颖而复杂的方法进入网络铺平了道路,并且无法将单一的安全控制应用于整个网络。
如前所述,使用防火墙、VPN 和网络访问控制来保护外围是不够的。虽然这可能会阻止外部攻击者和威胁,但内部攻击的问题仍然很大,因为网络边界内的所有内容本质上都是可信的。此外,网络犯罪分子不断想方设法通过受信任的用户凭据或恶意链接和附件进入网络。一旦攻击者越过安全边界,他们就可以在网络中横向移动,并且通常可以自由地控制网络资源,从而导致数据泄露。
传统的基于边界的安全模型在开发时并未考虑到安全环境的这种动态变化,也不是为了支持远程工作者或云托管应用程序而设计的。但鉴于企业正在加速实现此类变化,因此有必要采用混合方法进行网络安全。现在需要一个中心管理和控制点,需要一种使用零信任模型的新网络安全方法。
零信任策略和技术
零信任方法要求消除信任是二进制的,并且攻击者不能同时存在于网络边界内外的想法。每个用户、设备、应用程序和网络本身都被认为是敌对的,并且应该在建立信任之前进行身份验证。因此,身份和访问管理构成了零信任模型的核心。但是,零信任并不是一种放之四海而皆准的方法;组织需要分析和开发一种基于现有战略和技术的整体方法,以满足其需求。其中一些策略如下:
- 微分段
- 最低权限访问
- 单点登录(SSO)
- 多因素身份验证(MFA)
- 持续监控和审计
微分段
零信任方法涉及识别保护面,该保护面由网络中最重要的数据、资产、应用程序和服务组成。此保护面通常小于攻击面。识别保护面后,可以监视和分析组织网络中相对于保护面的流量。然后在保护表面周围建立微周界。
微分段是将安全边界划分为更小且可管理的区域的过程,从而实现精细的访问和控制。每个区域都保持独立的访问,确保提高安全性。微分段将攻击面降至最低,并限制网络内未经授权的横向移动。
最低权限访问
最低权限访问是零信任最重要的方面之一。通过采用最小权限原则,每个用户只能访问执行特定任务所必需的数据和资源。由于用户可以根据需要访问资源,因此他们与网络敏感和关键部分的接触大大减少。因此,即使用户的凭据或设备受到恶意攻击的破坏,攻击者也只能访问用户有权访问的资源。实现最低特权访问的方法有很多种,其中最常见的是基于角色的访问控制(RBAC)。使用 RBAC,每个用户都可以根据其在组织中的角色授予或拒绝对数据和应用程序的访问权限。
单点登录(SSO)
单点登录(SSO)使用户能够使用一组凭据登录到各种应用程序和服务。SSO 是朝着实现无密码身份验证的正确方向迈出的一步,因为它大大减少了每个用户所需的密码数量。除此之外,SSO 在最大限度地减少基于凭据的攻击数量方面发挥着重要作用。SSO 还有助于解决由于使用本地和云解决方案而导致的零散标识造成的安全漏洞。
多因素身份验证(MFA)
多重身份验证(MFA)是零信任安全的另一个核心组件。使用多重身份验证时,用户需要使用多个身份验证因素进行验证。这通常是通过组合多个凭据或因素(例如用户知道的内容、用户拥有的内容以及用户是的内容)来采用的。
例如,使用双因素身份验证(2FA)方法,用户可能需要提供密码和生物识别信息,例如指纹。另一个示例是发送到用户设备的一次性密码(OTP)或代码。通过增加访问网络所需的凭据数量,可以大大减少基于凭据的攻击数量。多重身份验证可以与单点登录相结合,以提供额外的安全层。
持续监控和审计
零信任要求对所有用户活动进行持续监控和审核,威胁检测和用户行为分析用于主动查找和关闭恶意攻击,攻击者现在正在利用人工智能和机器学习等技术来执行复杂的攻击,因此组织必须通过利用相同的策略和技术来保持最新状态,以领先于攻击者一步。
零信任模型的组件
身份
身份和访问管理 (IAM) 是零信任安全的核心。用户需要先经过身份验证和授权,然后才能获得对网络资源的访问权限。Gartner 推荐了每个 IAM 解决方案都应具备的 15 项关键功能。它指定了身份自动化功能,这些功能主要降低了身份管理过程中人为错误的风险。
端点
网络安全的主要作用是防止恶意攻击到达网络中的端点;随着传统网络边界开始消退,实施严格的端点安全对于保护网络免受威胁和攻击至关重要。零信任提倡将网络和端点安全集成在一起,以开发整体安全模型。
网络
可以通过执行微分段和应用威胁防护来保护网络,以帮助防止安全威胁和攻击。随着云采用、BYOD 策略和远程工作的增加,传统网络边界正在迅速消失。为了保护网络资源免受不断变化的威胁,必须使用新时代的行为分析工具对网络进行监控。
实施零信任架构
- 管理、监视、审核和报告 Office 365
- 执行标识生命周期管理
- 安全地审核 AD、Office 365 和文件服务器
- 实现自适应身份验证
- 使用报告和基于 ML 的用户行为分析
管理、监视、审核和报告 Office 365
使用AD360简化复杂的任务,例如批量用户管理和批量邮箱管理。管理员可以持续监视 Office 365,接收有关服务中断的实时电子邮件通知,并查看终结点的可用性。管理员还可以查看特定事件的详细详细信息,并访问其 Office 365 功能和终结点的性能和运行状况。AD360 还提供详细的报告,帮助进行合规性管理以及确保 Office 365 安全的其他任务。
执行标识生命周期管理
借助AD360提供的身份生命周期管理解决方案,自动执行用户配置、修改、取消配置和Active Directory (AD)管理等日常管理任务。为数以千计的用户(包括临时员工和承包商)执行身份管理任务会给 IT 管理员带来繁重的工作量。AD360消除了这些任务的手动处理,并有助于排除通常由人为引起的冗余和错误。称职且简化的身份管理解决方案可确保遵循严格的访问策略,以便根据用户的角色和要求为用户提供适当的访问级别。这是采用零信任的关键一步。
允许从单个控制台跨 AD、Exchange Server、Office 365 和 G-Suite 轻松配置、修改和取消配置多个用户帐户和邮箱。可自定义的用户创建模板可用于从 CSV 文件导入数据以批量配置用户帐户。通过集成 AD、Office 365、Exchange、G-Suite 和 HR 管理系统应用程序,AD360 为管理员简化了关键的 IT 管理任务,否则他们必须管理多个应用程序和工具。这有助于组织节省宝贵的人力和资源,同时保持安全性和生产力。
安全地审核 AD、Office 365 和文件服务器
管理员可以监控 AD、Office 365、Windows Server 和 Exchange Server,以保持最新状态并获取更改报告。内置的合规性报告和高级审计功能也使合规性管理变得容易,从而最大限度地减少了 IT 管理员的工作量。关键更改的实时审核报告通过持续监视 AD、Office 365 和 Exchange Server 环境中的用户登录活动和其他更改来帮助检测内部威胁。
实现自适应身份验证
管理员可以使用AD360执行自适应身份验证,并通过身份分析工具实施更严格的安全性。通过利用大数据、机器学习 (ML) 和 AI 等技术,身份分析工具可提供基于上下文风险的身份验证。反过来,这有助于跟踪异常的用户行为并限制访问权限,同时增强特权帐户的安全性和监控。根据最小权限原则,用户可以访问应用程序和资源,这是零信任的核心原则之一。
AD360提供MFA和SSO功能,可缓解身份盗用和密码攻击。MFA 与 SSO 相结合,提供了额外的安全层和无缝的用户体验,减少了管理密码所花费的时间,同时提高了整体工作效率。密码正处于过时的边缘,因为它们在提供对复杂密码攻击的免疫力方面效率低下。密码管理模块允许管理员通过指定密码长度、复杂性、有效期和精细密码设置来实施严格的密码策略。用户可以重置其密码并更新其 AD 配置文件中的用户属性。
使用报告和基于 ML 的用户行为分析
AD360采用用户行为分析(UBA)主动检测用户行为异常,并提供智能威胁警报。UBA 提供更高的准确性和效率,同时降低误报警报的发生率。在很长一段时间内分析用户行为,并在数据分析和机器学习的帮助下制定正常用户活动的基线。每当有偏离正常用户行为的情况时,UBA 解决方案都会将其视为异常,并立即通知管理员。这对于检测内部威胁和特权滥用特别有用。传统的安全解决方案通常采用基于规则的威胁检测技术,这可能会无意中导致误报。这在识别实际威胁方面造成了困难,从而影响了组织的安全。同样,传统解决方案不采用机器学习,也无法精确检测异常。通过利用AD360提供的基于ML的UBA功能,组织可以构建零信任模型,以确保最大的安全性。
实施零信任的最佳实践
- 识别敏感数据,并根据其优先级和毒性对其进行分类。
- 使用最小权限原则限制和控制对用户、数据和应用程序的访问。
- 使用安全分析持续监控和跟踪网络活动,以检测内部和外部威胁。
- 监控端点以主动检测威胁并采用精细的访问策略。
- 自动执行监控和安全分析流程,以最大程度地减少错误和风险。
AD360 是一款集成式身份和访问管理(IAM)解决方案,用于管理用户身份、管理对资源的访问、实施安全性和确保合规性。允许用户快速访问所需资源,同时建立严格的访问控制,从集中式控制台确保本地Active Directory、Exchange Server和云应用程序的安全性,从而帮助管理员简化IT环境中的IAM。