Zero Trust 安全转型操作指南总结
执行摘要
- 传统基于边界的网络安全模式已不适用,因 SaaS 应用、云迁移、远程用户和 BYOD 设备增多,攻击面扩大。
- Zero Trust 模式取代边界中心架构,通过身份、设备状态和用户环境动态实施安全访问决策。
- 核心建议包括:仅提供应用程序访问权限、隔离网络基础设施、强化身份验证、使用 WAF、部署高级威胁防护、监控流量并集成 SIEM。
仅应用程序访问权限
- 传统 VPN 存在安全漏洞,提供不受限制的网络访问,增加横向移动风险。
- 最佳实践:仅授予用户所需应用程序访问权限,基于授权、身份、设备状态和验证。
- 优势:减少横向攻击、提升用户体验和工作效率、降低 IT 维护成本、增强访问可见性。
隔离网络基础设施
- 网络罪犯将设备转为僵尸机器,攻击防火墙后方的应用程序。
- 将内部应用程序和访问基础设施与公共互联网隔离,防止 DDoS、SQL 注入等攻击。
- 通过 DNS 漏洞攻击的例子说明隔离的重要性。
启用 WAF 保护应用程序
- 高针对性攻击通过社交工程和僵尸设备攻击内部应用程序。
- WAF 可保护内部应用程序免受 SQL 注入、恶意文件执行等攻击。
- 扩展 WAF 保护范围至内部应用程序至关重要。
强化身份验证和授权
- 传统单因素身份验证不足,重复使用弱凭据增加攻击面。
- 多因素身份验证 (MFA) 提供额外安全层级,确保仅验证用户访问。
- 单点登录 (SSO) 提高效率,允许用户使用一组凭据登录所有应用程序。
- 持续访问决策结合 MFA 和 SSO,兼顾便利性和安全性。
高级威胁防护
- 网络钓鱼、零日恶意软件和基于 DNS 的数据泄露仍威胁企业数据。
- DNS 作为安全漏洞,恶意软件利用 DNS 协议避开现有安全层。
- DNS 安全解决方案可在击杀链早期检测和阻止攻击。
监控互联网流量和活动
- 假设环境充满敌意是 Zero Trust 核心原则。
- 监控和验证所有 DNS 请求,确保查询不指向恶意网站。
- 检查流量行为异常,如与 C&C 服务器通信或数据泄露,及时发出警报。
- 利用 DNS 协议作为安全控制点,及早检测和阻止攻击。
API 集成与编排
- 大规模应用程序环境需通过 API 快速批量部署应用程序和设置访问策略。
- DevSecOps 环境下 API 采用率提高。
- 需要通过 API 将威胁和事件数据整合到 SIEM,实现进一步调查和关联。
- 可扩展系统需与第三方端点检测和响应解决方案集成。
结论
- 数字转型要求企业采用 Zero Trust 模式,在保障安全的前提下实现业务发展。
- 关键优势包括高级威胁防御、应用程序加速、MFA 和 SSO。
- Zero Trust 模式通过 API 实现编排,与 SIEM 和工作流自动化平台集成,提供用户和应用程序可见性。
- Akamai 提供网络和安全转型指导,包括 Zero Trust 评估和资源支持。
