【翻译】零信任架构准则(五)Don‘t trust any network

将监控重点放在用户,设备和服务上

全面监控必不可少,因为设备和服务更容易受到网络攻击。在零信任架构中,随着设备,服务和用户行为的持续评估,我们的监控策略很可能发生改变。我们应该持续进行监控,并将用户流量通过安全传输(相互验证的TLS)定期导出到指定组件去分析,比如说用户访问的行为,是否是正常工作时间或正常工作地(发生异常很有可能是攻击者)。了解我们的服务,并了解用户与服务之间的交互也很重要,我们在监控中,观察设备,用户和服务正在执行哪些操作以及它们正在访问哪些数据,观察并验证它们是否按照你的预期执行。

如果我们使用的是自带设备(BYOD)或者是访客设备,那么我们将无法完全监控所有目标,在这种情况下,我们可以使用移动设备管理(MDM)和移动应用程序管理(MAM)解决方案,以此来提高对此类设备的安全性信心,具体可参照BYOD安全指南(BYOD guidance)。

不要相信任何网络,包括你自己的

零信任网络将网络视为敌对,我们必须主动构建并维护对用户,设备和服务的可信值。我们不要信任设备与其访问的服务之间的任何网络,这包括本地网络。为了防止这些攻击,我们应该采用两种方式,一种是安全加固,类似于使用安全传输等手段,这将有效防止DNS欺骗,中间人和未经请求的入站连接等攻击;第二种是使用私有协议封装,类似于隧道传输。

在零信任架构中,设备会通过浏览器访问互联网(IA场景),那么网络流量一定不会通过隧道返回到监控的中心点,因此设备需要做一些传统的web浏览器的安全防护,比如说恶意域名,未经授权的协议,恶意URL和网络钓鱼检测等等。如果你不能使用设备安全功能强制执行互联网策略,那你必须通过托管云来路由互联网流量。

选择专为零信任设计的服务

在选择零信任架构的组件或服务时,我们应该倾向内置支持零信任的服务,如果是遗留的服务(不在处于积极开发或支持的服务),可能需要额外的组件来实现零信任,这可能会增加管理开销并导致服务可用性的问题,因此,请确保你有足够的资源来解决这个问题,具体可参阅Obsolete products guidance。

不要重复发明轮子,由于成本,复杂性和出错的可能性,我们应该避免自己开发基础设施,我们应该尽可能使用基于标准的技术,这将具有可扩展性和移植性,一个很好的例子是身份验证和授权的通用标准允许服务和身份提供者之间进行互操作(OpenID Connect,OAuth 2.0or SAML)。

最后总结-零信任架构7项关键元素

  • Who is connecting?

知道连接的一方的身份。身份的特定的、细粒度的本质是零信任和零信任交换的基石——不仅对人,也对设备、可连接的东西和工作负载。这些实体必须提供一个有效的身份来区分自己,以便通过正确的控件集访问允许的资源,并应阻止所有其他访问权限。

  • What is the access context?

身份给了零信任一个谁在联系,他们的角色和责任的想法,但缺乏围绕联系的上下文。身份最初被认为是基于是否经过身份验证的初始实体提供“是”或“否”的二进制输出的能力。现在,我们必须将谁正在连接的细节与该连接的上下文联系起来,这允许对最小特权零信任的额外控制。就像你的Netflix登录让你访问Netflix一样,是关于你的东西——年龄、位置、兴趣、观看历史等——让Netflix推荐你最感兴趣的节目。

  • Where is the connection going?

验证过程的第一个要素以最初的身份评估结束。下一个元素需要理解被请求的资源:应用程序。这个应用程序需要被识别,是的,但是它的功能、位置、已知的风险或问题,以及与访问请求者的身份的关系也必须被评估。重要考虑的例子包括该应用程序是否已知,以及该应用程序是否在互联网上公开。这些条件将决定如何将申请提交到零信任过程的控制和执行阶段。确定哪个启动器可以连接到哪个目标服务,这最终是零信任解决方案的验证和控制阶段的结果。零信任服务不是防火墙,这意味着它们既不是传递的,也不是静态的。因此,所实施的策略必须不是一个简单的定义。

  • Assess risk

在生活中,我们都是根据上次表演的结果来评判的。零信任也是如此。前面的元素只和最新的评估一样好。该解决方案必须通过动态风险评分来考虑企业的风险容忍度。后续和正在进行的风险评估必须根据一组信号进行动态计算,以确保评分根据新的发展进行更新。这种风险随后引入决策引擎,以确定是否应该授予持续的访问权限。

  • Prevent compromise

查看流量和云应用程序使用情况的能力,可以有效消除隐藏在加密流量中的僵尸网络和恶意软件等恶意内容。由于大量连接互联网的流量被加密,未经检就允许这些流量使用服务是有风险的。检查外部和内部应用程序访问是至关重要的,因为这两个流量都可能是加密的。为了通过内部通信来抵御威胁,企业必须能够大规模地进行内部流量解密。

  • Prevent data loss

检查面向互联网、SaaS或内部应用程序的流量的能力对于识别和防止敏感数据的丢失非常重要。对于互联网来说,用例是显而易见的,中间人解密检查和API扫描都必须确保敏感数据不会泄露或渗透到未经授权的云服务。但是,同样的保护也应该扩展到内部应用程序访问。此功能适用于管理设备和非管理设备,在考虑物联网/OT设备和工作负载通信时也很重要。

  • Enforce policy

遵循验证和控制阶段,并结合对动态风险评估的理解,我们到达了执行点。执行并不像传统的安全解决方案那样,集中在专用设备的网络上。要素1中的授权决定和要素2中的评估都会影响到我们当前阶段的执行。必须不断地、统一地实施政策执行(永不信任,始终验证)。只有当策略保持不变,平等地应用于服务,那么无论执行点的位置如何,都能实现统一的管控。

延伸阅读

Books

  • Zero Trust Networks by Gilman and Barth
  • Zero Trust Security by Garbis and Chapman
  • NIST SP 800-207 Zero Trust Architecture
  • UK National Cyber Security Centre Zero trust architecture design principles

Papers

  • Forrester Build Security Into Your Network's DNA: The Zero Trust Network Architecture
  • Google BeyondCorp 1 An overview: "A New Approach to Enterprise Security"
  • Google BeyondCorp 2 How Google did it: "Design to Deployment at Google"
  • Google BeyondCorp 3 Google's front-end infrastructure: "The Access Proxy"
  • Google BeyondCorp 4 Migrating to BeyondCorp: Maintaining Productivity While Improving Security
  • Google BeyondCorp 5 The human element: "The User Experience"
  • Google BeyondCorp 6 Secure your endpoints: "Building a Healthy Fleet"

Posts

  • Google How Google adopted BeyondCorp
  • Wall Street Journal Google Moves Its Corporate Applications to the Internet
  • Gitlab's Blog series and their reddit AMA

Videos

  • USENIX Enigma 2016 - NSA TAO Chief on Disrupting Nation State Hackers
  • What, Why, and How of Zero Trust Networking by Armon Dadgar, Hashicorp
  • O'Reilly Security 2017 NYC Beyondcorp: Beyond Fortress Security by Neal Muller, Google
  • Be Ready for BeyondCorp: enterprise identity, perimeters and your application by Jason Kent

翻译:zhihu于顾而言

Reference

zero-trust-architecture/6-Focus-your-monitoring-on-users-devices-and-services.md at main · ukncsc/zero-trust-architecture · GitHub

zero-trust-architecture/7-Don't-trust-any-network-including-your-own.md at main · ukncsc/zero-trust-architecture · GitHub

zero-trust-architecture/7-Don't-trust-any-network-including-your-own.md at main · ukncsc/zero-trust-architecture · GitHub

https://www.zscaler.com/resources/ebooks/seven-elements-of-highly-successful-zta.pdf

7 Key Elements of Highly Successful Zero Trust Architecture (zscaler.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/436416.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

AMDGPU KFD Test 编译使用

AMDGPU KFD Test 编译使用

ROCT-Thunk-Interface是一个用于在ROCm软件堆栈中提供设备无关性的层。它是ROCm的一部分,允许不同的硬件平台(如AMD GPU和Intel CPU)使用相同的API进行计算。 要安装ROCT-Thunk-Interface,首先需要创建一个新的目录,并…
阅读更多...
Android视角看鸿蒙第三课(module.json中的各字段含义之nametype)

Android视角看鸿蒙第三课(module.json中的各字段含义之nametype)

Android视角看鸿蒙第三课(module.json中的各字段含义) 前言 上篇文章我们试图找到鸿蒙app的程序入口,确定了在鸿蒙工程中,由AppScope下的app.json5负责应用程序的图标及名称,由entry->src->main-module.json5负责桌面图标及名称的展示。 AppScope下的app.js…
阅读更多...
2.26-3.6

2.26-3.6

2.26 下面是项目vue脚手架 下面是node环境文件夹 2.27 npm config get prefix npm config set prefix "D:\software\nodejs"得到下面 创建脚手架 npm i vue/cli -g在项目脚手架里 vue create vue-project-1where npx vue使用vue cli创建前端工程 https://reg…
阅读更多...
无编制教师和有编制教师区别在哪

无编制教师和有编制教师区别在哪

走进教育的世界,我们常常听到“编制教师”与“非编制教师”的说法,这两者之间的区别,犹如一道隐形的鸿沟,隔开了两种不同的教育生涯。今天,就让我们一起来探讨一下,这两者之间的差异究竟体现在哪里。 教育系…
阅读更多...
【学习资源】对比说明三个通过作者查找文献数据库(一)

【学习资源】对比说明三个通过作者查找文献数据库(一)

最近博主在阅读相关文献的时候,想针对一些作者的科研文献做一个详细的了解,于是涉及到“如何已知作者与其所在单位,查找其研究成果”的问题,博主尝试了在Google Scholar、Web of Science、CRS核心论文库这三个地方通过作者查找文献…
阅读更多...
Jmeter之Ramp-up Period(in seconds)

Jmeter之Ramp-up Period(in seconds)

1、Ramp-up Period概念 (in seconds)–并发用户启动周期,告知JMeter 要在多长时间内启动全部Vuser用户。 2、为什么需要有“ramp-up period”,立即启动所有的并发用户数不是更好? 对于绝大多数的网址或应用&#xf…
阅读更多...
vulhub中ThinkPHP5 SQL注入漏洞 敏感信息泄露

vulhub中ThinkPHP5 SQL注入漏洞 敏感信息泄露

漏洞原理 传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码 启动后,访问http://your-ip/index.php?ids[]1&ids[]2…
阅读更多...
C++椭圆检测论文复现 Ubuntu 22.04+Vscode+opencv3.4

C++椭圆检测论文复现 Ubuntu 22.04+Vscode+opencv3.4

复现的代码 本博客旨在复现论文《An Efficient High-quality Ellipse Detection》,该文章本来只有Matlab的代码实现,后来被islands翻译成了c 库,大家可以参考islands发在知乎上的文章高质量椭圆检测库,C的代码链接。 使用环境 U…
阅读更多...
算法DFS 复习

算法DFS 复习

思路:for 代表的是每一位的纵向,数字变化,dfs 代表的是横向的,位置变化。vis 来做到每个枚举的数不重复,并且要在搜索前记录,搜索后还原。模拟该样例 dfs3 的时候是输出,dfs0,1&…
阅读更多...
【Web - 框架 - Vue】随笔 - Vue的简单使用(02) - 快速上手

【Web - 框架 - Vue】随笔 - Vue的简单使用(02) - 快速上手

【Web - 框架 - Vue】随笔 - Vue的简单使用(02) - 快速上手 Vue模板代码 代码 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>Vue模板</title> </head> <body> <div id"…
阅读更多...
Vue3+Vue Router使用<transition>过渡动画实现左右分栏后台布局

Vue3+Vue Router使用<transition>过渡动画实现左右分栏后台布局

摘要 利用Vue3及其配套的Vue Router实现后台管理系统中的页面过渡动画。文章首先简要介绍了Vue3的特性和Vue Router的基本用法&#xff0c;利用Vue3提供的组件以及Vue Router的路由钩子函数来实现页面过渡效果。 代码结构 在 components 里有4个组件&#xff0c;其中 Layout…
阅读更多...
Kosmos-1: 通用接口架构下的多模态大语言模型

Kosmos-1: 通用接口架构下的多模态大语言模型

Kosmos-1: 通用接口架构下的多模态大语言模型 FesianXu 20230513 at Baidu Search Team 前言 在大规模语言模型&#xff08;Large Language Model, LLM&#xff09;看似要带来新一番人工智能变革浪潮之际&#xff0c;越来越多尝试以LLM作为通用接口去融入各种任务的工作&#…
阅读更多...
vue3中指定组件名称:可以使用插件vite-plugin-vue-setup-extend

vue3中指定组件名称:可以使用插件vite-plugin-vue-setup-extend

第一步&#xff1a;安装vite-plugin-vue-setup-extend插件 第二步&#xff1a;修改vite.config.ts文件配置
阅读更多...
通过MNIST手写数字识别任务快速入门深度学习(事无巨细版)

通过MNIST手写数字识别任务快速入门深度学习(事无巨细版)

可点此跳转看全篇 本文内容 什么是深度学习入门深度学习时的困惑典型的入门案例——CNN实现的MNIST手写数字识别虚拟环境的创建创建虚拟环境配置需求的依赖包代码1. 引入依赖包2. 准备数据集datasets3. 准备数据加载器dataloader4. 配置网络5. 设置训练器6. 网络训练7. 模型保存…
阅读更多...
URL?后参数有特殊字符问题

URL?后参数有特殊字符问题

前端对于URL的参数不做处理 不处理、用URLDecoder.decode()处理、用URLEncoder.encode()处理、用URLEncoder.encode()处理后再用URLDecoder.decode()处理 结果 前端对于URL的参数用encodeURIComponent(‘XF-OPPZZD-26*316’)处理 结果 前端不处理有&字符时 结果会把后…
阅读更多...
【PyQt】16-剪切板的使用

【PyQt】16-剪切板的使用

文章目录 前言一、代码疑惑快捷键 二、现象2.1 复制粘贴文本复制粘贴 2.2 复制粘贴图片复制粘贴 2.3 复制粘贴网页 总结 前言 1、剪切板的使用 2、pycharm的编译快捷键 3、类的属性和普通变量的关系 4、pyqt应该养成的编程习惯-体现在代码里了&#xff0c;自己看看。 一、代码…
阅读更多...
CTP-API开发系列之四:接口对接准备

CTP-API开发系列之四:接口对接准备

CTP-API开发系列之四&#xff1a;接口对接准备 CTP-API开发系列之四&#xff1a;接口对接准备CTP-API文件清单CTP-API通用规则命名规则Spi与Api CTP-API通讯模式开发语言选择 CTP-API开发系列之四&#xff1a;接口对接准备 CTP-API文件清单 文件名说明ThostFtdcTraderApi.h交…
阅读更多...
护眼台灯推荐,护眼台灯怎么选?口碑公认的5个品牌推荐

护眼台灯推荐,护眼台灯怎么选?口碑公认的5个品牌推荐

现在儿童青少年的近视率越来越高&#xff0c;所以儿童护眼台灯也是受到了越来越多的关注。护眼台灯凭借能提供舒适自然的照明&#xff0c;起到预防近视的作用&#xff0c;成为了许多家长为孩子选择的必备灯具&#xff01;不过市场上始终存在护眼台灯质量差、不达到标准等各种负…
阅读更多...
新闻资讯|基于微信小程序的经济新闻资讯系统设计与实现(源码+数据库+文档)

新闻资讯|基于微信小程序的经济新闻资讯系统设计与实现(源码+数据库+文档)

新闻资讯小程序目录 目录 基于微信小程序的经济新闻资讯系统设计与实现 一、前言 二、系统设计 三、系统功能设计 1、用户信息管理 2 短视频信息管理 3、新闻信息管理 4、论坛信息管理 四、数据库设计 1、实体ER图 五、核心代码 六、论文参考 七、最新计算机毕设…
阅读更多...
实战-Sealos一键部署k8s集群-2024.3.7(测试成功)

实战-Sealos一键部署k8s集群-2024.3.7(测试成功)

目录 [toc] 原文链接 实战-Sealos一键部署k8s集群-2024.3.7(测试成功) | 彦 推荐文章 我的开源项目&#xff1a; 开源项目 | 彦 实验环境 centos7.6 1810,5.4.270-1.el7.elrepo.x86_64sealos v5.0.0-beta4k8s v1.28.7 &#xff08;当前时间&#xff1a;2024年3月7日 k8s最新版…
阅读更多...
最新文章

Copyright @ 2022~2023