采用零信任安全模型的指南

一个拥抱一个指南零信任安全模型云和远程工作时代的安全策略 采用零信任安全模型|指南斯普伦克2近年来，网络安全发生了巨大变化。首席信息安全官 （CISO） 曾经采用的策略在不到一年的时间内被两个重大事件——COVID-19 和 SolarWinds 攻击——颠覆了。网络安全过去围绕着建立一个硬化的边界，然后在城堡周围分层安全工具，如护城河和墙壁。当网络威胁仅从外部出现并且资产存在时，这个概念是有意义的。当今的新环境（云、远程员工和移动设备）不符合传统的安全策略。相反，它通过允许数据和工作负载在传统方式之外生存、运行和访问来打开攻击面。组织已经在转变其安全思维方式，以适应云迁移和数字化转型。这些转变只是被 COVID-19 和 SolarWinds 加速了。这就是采用零信任安全策略发挥作用的地方。在本简短指南中，我们将探讨需要零信任策略的一些驱动力，以及该策略需要什么以及如何实施。前提。! 采用零信任安全模型|指南斯普伦克3自 COVID-19 大流行爆发以来，发生了很多变化。这场危机敲响了警钟，促使世界各地的组织和公司加快转型。一夜之间，员工被迫远程工作，这给 IT 和安全基础设施带来了巨大的压力。通常，组织依靠虚拟专用网络 （VPN） 解决方案来管理对企业的远程访问，但由于工作负载的大量增加和如此短的时间内流量涌入，这变得非常难以扩展。这也使组织面临新的安全威胁。团队通常依赖的旧工具使用老式的“深度防御”方法来确保安全性，该方法需要定义的企业边界来保护组织。但是，全球大流行导致的工作习惯迅速转变，将传统的网络安全方法推向了崩溃的边缘。在传统的安全方法中，威胁会渗透到网络中，一旦边界被破坏，黑客就可以利用现有的漏洞。一旦获得授权访问，不良行为者就会在组织的网络（包括连接的系统）中移动，从而破坏资产并造成不可挽回的损害。当组织迁移到云时，用户访问将超出其传统边界，从而为可见性、控制和保护数据带来新的挑战。再加上威胁和对手的形势，组织必须假设他们已经受到威胁，并采取必要的措施来保护自己。在这种心态下，每个需要访问组织网络的用户、设备和服务都被视为敌对的——即使它是一个已知且经过批准的实体。并非所有数据都是平等的。随着安全团队努力保护企业，有一件事变得非常清楚：并非所有资产都可以或应该在同一级别受到保护。在边界消失和数据移动到企业围墙之外时，必须衡量数据的敏感性和重要性，以帮助推动有意义和有效的安全措施。如果不解决这些问题，简单地迁移到云或对基础架构进行现代化改造将无法产生有效的结果。公司将无法正确保护资产并实现技术进步提供的潜在好处。组织需要一种现代方法，超越基于边界的安全策略，以便在远程工作时代及以后生存。传统的网络远程工作迫使组织与时俱进 采用零信任安全模型|指南斯普伦克4需要为每个事务在设备和用户级别持续应用保护和身份验证，以确保连续和自适应授权。一种有可能改善组织保护其数据和系统的方式的安全方法是称为零的信任。零信任通过消除对基于边界的保护的唯一依赖来增强安全状况。实际上，组织减少了对网络安全的依赖，而是专注于保护用户、资产和资源。这确保了每个接入点的信任程度，并消除了保护远程办公室的一些焦虑。它还减少了“数据泄露”的威胁，或者员工意外丢失下载到个人设备的敏感公司数据。在现实世界中，这种情况的一个简化示例是，有权从新分配的设备使用组织的案例管理系统的员工。员工从该设备发出请求并被授予访问权限。一段时间后，员工从网站下载驱动程序要有所帮助。由于在零信任策略中持续监视设备，因此会标记更新。添加未知组件已更改批准的配置，因此该设备的信任分数将被更新。现在，当员工尝试连接到系统时，他们的新信任分数可能意味着对案例管理系统的访问将被拒绝或降级，具体取决于机构政策。这显示了利用多个因素（在本例中为用户、设备和资源的组合分数）如何使机构能够动态降低企业资源的风险。零信任系统需要能够考虑不断变化的条件以进行持续评估。Forrester 最近的一份报告发现，我们生活在一个组织必须“假设你已经被入侵;你只是还不知道。这是在当今敌对环境中的必要心态。“信任但要验证”会让你措手不及，让你为危机管理做好准备。零信任可能看起来很鲜明，但它是与任务优先级保持一致的主动架构方法。云低灵敏度/更少的限制数据灵敏度更高/限制更多一个安全的新方法:没有人信任无线连接家在现场公开亭 采用零信任安全模型|指南斯普伦克5如何构建一个zero-trust模型行业和安全专家已经将零信任模型视为在 COVID-19 大流行期间甚至之后保护组织的良好框架。无论采用哪种方法，数据都是有效的零信任策略的基础。零信任用户设备网络应用程序自动化分析数据来源：零信任网络安全当前趋势，2019 年 4 月 18 日，ACT-IACACT-IAC 列出了零信任安全模型的六大支柱，这些支柱建立在数据的基础上，总结为：用户对受信任用户的持续身份验证，持续监控和验证用户可信度，以管理其访问权限和权限。设备衡量设备的实时网络安全状况和可信度。网络分段、隔离和控制网络的能力，包括软件定义网络、软件定义广域网和基于互联网的技术。应用程序保护并正确管理应用程序层以及容器和虚拟机。自动化安全自动化、编排和响应 （SOAR） 允许组织通过工作流自动执行跨产品的任务，并进行交互式最终用户监督。分析安全信息和事件管理 （SIEM）、高级安全分析平台、用户和实体行为分析 （UEBA） 等可见性和分析工具使安全专家能够观察正在发生的事情并更智能地确定防御方向。 采用零信任安全模型|指南斯普伦克6•假设网络总是充满敌意。•接受外部和内部威胁始终在网络上的事实。•要知道，网络位置的位置不足以决定信任网络。•对每个设备、用户和网络流进行身份验证和授权。•实施动态策略，并根据尽可能多的数据源计算策略。“总署”的方法基于产品/工具遵守连接资源遵守连接到网络假设妥协/连续评估内隐式信任周长保护资产、用户资源静态的,基于现代遗产根据定义，成功的零信任安全计划必须：NIST同样为实施成功的零信任策略提供了自己的指南：•所有数据源和计算服务都需要被视为资源。•无论网络位于何处，都需要保护所有通信。•对单个企业资源的访问权限是按会话授予的。•对资源的访问由动态策略（包括客户端身份、应用程序和请求资产的可观察状态）确定，并且可能包括其他行为属性。•企业确保所有拥有和关联的设备都处于最安全的状态，并相应地监控资产。•所有资源身份验证和授权都是动态的，并且在允许访问之前严格强制执行。资料来源：零信任网络安全当前趋势，ACT-IAC，2019 年 4 月企业收集尽可能多的有关网络基础结构和通信当前状态的信息，并使用它来改善其安全状况。这些报告强调，零信任是组织网络安全思维的自然演变 - 从专注于网络防御和静态边界的基于防御的方法转变为关注用户、资产和可用的资源。尤其是在远程工作时代，这已成为全球当务之急。为了有效，零信任方法要求组织专注于利用公司范围的数据作为其基础。了解所有数据都与安全相关是关键。从整个组织引入数据可提供做出明智访问决策所需的整体可见性（包括上下文）。请求访问的实体的风险评分可以根据各种条件动态计算，例如设备、用户凭据、行为、一天中的时间以及通过持续监控收集的任何其他属性 采用零信任安全模型|指南斯普伦克7服务的见解Splunk 数据到一切平台为首席信息安全官 （CISO） 和安全专业人员提供持续监控和分析解决方案，他们需要确保在现代无边界企业中安全访问其数据和应用程序。该平台有助于增强对访问决策的信心和持续信任，同时确保整个零信任生态系统中的组件性能、策略合规性和可用性。Splunk 平台可帮助组织从几乎任何来源摄取数据，端到端监控其基础设施，并优化和提高零信任生态系统的有效性。Splunk 以三种方式专门映射到零信任模型：1.Splunk 通过持续监控和提供跨用户、资产和服务的可见性，提高对企业资源访问决策的信心和信任。2.Splunk 提供对服务运行状况、组件关系和基础架构的全栈可见性，确保性能和可用性，并通过机器学习在问题发生之前预测问题。3.Splunk 通过任务自动化和工作流编排实施零信任策略，帮助减少手动工作、分析师疲劳和成本幽灵(上升)行为分析.Splunk和零信任模型用户和实体行为分析(UEBA)企业安全IT服务智能(ITSI)云Saas物联网/不/机器身份、利用率、行为、配置云可用性、性能行为威胁情报漏洞、威胁、ttp, IOs中间件/ api交通、异常、性能的身份工作负载/应用程序笔记本电脑、手机、配置异常用户使用、体验、性能质量设备笔记本电脑、手机、配置异常合规自动化/编制连续风险评分实时Visibilitiy持续的监控英特尔基础设施实体 采用零信任安全模型|指南斯普伦克8增加信心,减少风险零信任的基本前提是保护组织的数据——无论它存在于何处——同时允许合法访问需要它们的实体。Splunk 通过持续监控提供可见性，提高了对企业资源访问决策的信心和信任。此信息可帮助策略引擎验证用户、资产和服务可信度，并在组织的安全策略规定的每个步骤中管理其访问权限和特权。组织可以依靠 Splunk 平台，根据组织策略规定的时间间隔，获取请求访问企业资源的任何用户、资产或服务的丰富上下文详细信息，以便快速做出明智的决策。事件管理与高级安全和行为分析相结合，提供了一组复杂的功能，这些功能通过机器学习进一步增强。这使策略引擎能够以动态自适应的方式确定请求访问企业数据的实体在任何给定时间带来的可信度和风险。正常运行时间更多,时间更少的压力Splunk 还有助于优化和提高整个零信任生态系统的有效性。它提供对服务运行状况、组件关系和基础架构的持续、全堆栈可见性，确保性能和可用性，并通过机器学习在问题发生之前预测问题。如果组件出现故障或未按预期执行，IT 和安全人员会快速收到警报并查明问题，从而节省故障排除时间并帮助恢复丢失的数据。此外，组织可以获得对其网络、端点和应用程序堆栈的实时可见性，以确保合规性、更快的审计并协调配置漂移的任何修复。他们可以持续监控零信任基础架构的组件，以确保资产保持尽可能安全的状态。 采用零信任安全模型|指南斯普伦克9Splunk Phantom 是领先的 SOAR 解决方案，可自动执行任务并编排工作流，以帮助实施零信任策略。Phantom 可扩展的自动化和编排功能可帮助组织更智能地工作、更快地响应威胁并加强网络防御。Phantom 灵活的应用程序模型支持数百种工具和数千种独特的 API，使组织能够连接和协调其团队和工具中的复杂工作流程。Phantom 还可以在几秒钟内跨您的安全基础架构执行一系列操作（从引爆文件到隔离设备），而手动执行则需要数小时或更长时间。这降低了组织的成本，并使分析师能够主动寻找网络威胁并解决更高优先级的问题。实施零信任原则超越了技术。它必须在流程中得到接受，并被支持组织。Phantom 可以通过将这些标准操作程序编码为可重用的模板、编排人工和机器任务以及将所有相关数据和活动保存在一个集中位置来增强与这些标准操作程序的协作和一致性。减少分析师疲劳和手动工作，早点回家 采用零信任安全模型|指南斯普伦克页面10Splunk 的安全套件充当组织的安全神经中枢，提供决策和采取行动所需的可见性和必要上下文。Splunk 通过收集、聚合、删除重复和优先处理来自多个来源的威胁情报来实现这一点。该解决方案通过可操作的用例内容不断增强，以帮助防范最新的网络安全威胁，评估风险概况和活动状态，并在整个组织中进行沟通。Splunk企业安全(ES)是一个行业领先的SIEM解决方案这提供了组织安全状况的端到端视图，并提供可操作的情报，以确定事件的优先级并做出适当的响应。Splunk ES 具有全面的特定于安全的数据视图，可帮助安全团队更快地检测网络威胁并优化事件响应。它还提供快速调查功能，可以检测恶意活动或违规行为，并调查威胁的范围或攻击。Splunk ES 还提供持续的风险评估，提供有关信息保障以及遵守策略和控制的可见性和实时见解。Splunk UBA 是一种用户和实体行为分析 （UEBA）