传统网络架构基于边界网络的理念构建,只要用户身处于网络之中,就会存在一个隐含的信任级别。云托管、远程办公等现代化方式转变给传统的边界网络架构带来了挑战,可以通过实施零信任架构来解决这些挑战,确保进出企业的所有流量都经过验证和授权;实施零信任架构可以在不影响员工工作效率和连接性的前提下分步完成。
在全面实施零信任架构时,建议将组织安全的7个核心组成部分纳入考虑:互联网流量,用户,应用,端点和设备,网络,数据防泄漏和日志,稳定状态;同时建议分4个阶段分步实施(具体实施方案和时间表因不同组织的实际业务情况而异)。
零信任架构组成部分及实施时间表 | |||
组成部分 | 目标 | 难度系数 | |
第一阶段 | 互联网流量 | 部署全局DNS过滤 | ★ |
应用 | 监控入站邮件,过滤网络钓鱼 | ★ | |
数据防泄漏和日志 | 确认SaaS工具中的错误配置和公开共享数据 | ★ | |
第二阶段 | 用户 | 创建企业身份 | ★★ |
用户 | 对所有应用实施基本的多因子认证 | ★ | |
应用 | 实施HTTPS和DNSsec | ★ | |
互联网流量 | 阻断或隔离SSL威胁 | ★★ | |
应用 | 对公开可寻址应用实施零信任策略 | ★ | |
应用 | 防御7层攻击 | ★ | |
网络 | 关闭应用所有暴露在互联网上的入站端口 | ★ | |
第三阶段 | 应用 | 列出所有企业应用清单 | ★★ |
应用 | 对SaaS应用实施零信任策略 | ★★ | |
网络 | 分隔用户网络访问 | ★★★ | |
应用 | 对关键私有可寻址应用创建ZTNA | ★ | |
设备 | 实施移动设备管理/统一终端管理控制企业设备 | ★★ | |
数据防泄漏和日志 | 定义敏感数据并确定位置 | ★★ | |
用户 | 发放硬件认证令牌 | ★★ | |
数据防泄漏和日志 | 及时了解已知威胁者最新动态 | ★ | |
第四阶段 | 用户 | 实施基于硬件令牌的多因子认证 | ★★ |
应用 | 对所有应用执行零信任策略 | ★★★ | |
数据防泄漏和日志 | 创建SOC执行日志检查,策略升级和攻击缓解 | ★★ | |
设备 | 实施端点保护 | ★★ | |
设备 | 列出所有企业设备、API和服务清单 | ★ | |
网络 | 分支机构之间使用宽带互联网连接 | ★★★ | |
数据防泄漏和日志 | 记录并检查员工对敏感应用的操作行为 | ★★ | |
数据防泄漏和日志 | 防止敏感数据离开应用 | ★★★ | |
稳定状态 | 通过DevOps方式对新资源执行策略 | ★★ | |
稳定状态 | 新接入资源自动扩展 | ★★★ | |
用户
用户包括员工、外包商和客户。要实现零信任,组织首先必须准确了解哪些人真正值得信任以及通过什么手段信任,也就是身份;之后必须建立用于安全验证用户身份的方法。
创建企业身份 | |
难度系数 | ★★ |
涉及团队 | 负责管理身份提供方(IdP)的团队(通常为安全或IT团队) 管理员工及合作伙伴所使用内部应用的管理员 |
概要 | 需要统一的企业身份才能准确地认证用户及授权对企业应用的访问,一致的企业身份有助于更无缝地对应用执行细粒度策略。 其他考量点:
|
步骤 | 1. 将所有企业用户添加到IdP,通常可以从人力系统同步。 2. 确认每条用户信息的准确性。 3. 发送新的用户注册信息,创建登录凭据。 |
对所有应用执行多因子认证 | |
难度系数 | ★(应用基本的多因子认证) ★★(使用硬件密钥) |
涉及团队 | 负责管理身份提供方(IdP)的团队(通常为安全或IT团队) 管理员工及合作伙伴所使用内部应用的管理员 |
概要 | 多因子认证(MFA)是防止通过网络钓鱼或数据泄露盗取用户凭据的最佳保护措施,大多数MFA可以直接在IdP中启用。 对于没有直接集成到IdP的应用,考虑在应用前使用反向代理执行MFA。 |
步骤 | 1. 提醒内部用户即将实施多因子认证。应提供不同选项,允许通过短信或基于APP的认证器进行注册。 2. 在IdP中启用多因子认证。 3. 在没有集成到IdP的应用前启用反向代理。 4. (加分项)通过邮寄或人工方式将硬件密钥发放给员工。 5. (加分项)对最敏感的应用执行仅通过硬件密钥的多因子认证。 |
端点和设备包括位于组织内部或有权访问组织数据的任何设备、API或软件服务。组织必须首先了解其全部设备、API和服务,然后根据设备、API和服务的上下文实施零信任策略。
实施移动设备管理 | |
难度系数 | ★★ |
涉及团队 | IT团队 |
概要 | 大多数零信任架构需要至少在一部分用户计算机上安装软件。大多数组织通过移动设备管理(MDM) 的方式管理用户设备清单中的软件和配置。 |
步骤 | 具体因移动设备厂商而异。 |
实施端点保护 | |
难度系数 | ★★ |
涉及团队 | 安全团队,IT团队 |
概要 | 在用户计算机上安装端点保护软件,扫描影响设备的已知威胁。端点保护软件还可用于保证操作系统补丁和更新的合规性。应该且也能够在应用程序访问控制策略中,使用来自端点保护软件的输入。 |
步骤 | 1. 使用MDM在用户计算机上安装端点保护软件。 2. 在端点保护平台上启用威胁防护和合规控制。 |
列出设备、API和服务列表 | |
难度系数 | ★ |
涉及团队 | 安全团队,IT团队 |
概要 | 端点保护软件和资产管理软件可用于追踪已发放给用户的所有设备。应维护准确的设备列表,追踪哪些设备有效且应该有权访问特定的应用。 清单中还应检测和维护API和服务。可以通过网络扫描识别新出现的API,以及可与内外网通讯的软件服务。 |
步骤 | 1. 使用MDM在用户计算机上安装端点保护软件。 2. 在网络中安装API和服务扫描器。 |
互联网流量包括发送到组织控制范围之外网站的所有用户流量,包括与业务相关的任务及个人网站。所有出站流量都可能受到恶意软件和恶意网站的影响,因此组织必须对发送到互联网的用户流量可见、可控。
阻断发送到已知威胁或危险目标的DNS请求 | |
难度系数 | ★★ |
涉及团队 | 可访问路由器或机器配置的IT团队,安全团队 |
概要 | 可通过路由器配置或直接在用户机器上应用DNS过滤,这是保护用户免受已知恶意网站侵害的最快方法之一。 |
步骤 | DNS过滤:更新办公WiFi上的DNS解析配置指向合适的DNS解析服务,这可阻断已知的恶意站点。 |
阻断或隔离SSL/TLS威胁 | |
难度系数 | ★★ |
涉及团队 | 可访问路由器或机器配置的IT团队,安全团队 |
概要 | 有些威胁隐藏在SSL之下,仅通过HTTPS检查无法阻止,应利用TLS解密进一步保护用户,防范SSL威胁。 |
步骤 | TLS解密: 1. 确保用户机器上安装了正确的客户端软件。 a 检查是否有任何VPN或其他软件可能会干扰设备上的出站web流量。 2. 在设备上配置解密TLS的根证书。 3. 启用免解密用户流量策略。 a 对于使用证书绑定的网站应该执行免解密。 b 企业不应解密解密用户的私人流量(如银行、社交媒体等)。 浏览器隔离: 应考虑两种部署方法:通过设备上客户端软件或隔离链路。 |
网络包括组织内的所有公共、私有和虚拟网络。组织必须首先了解现有的所有网络集合并分段,以防范横向摆渡,之后可以创建零信任策略,细粒度控制用户、端点和设备可访问的网段。
用户网络访问分段 | |
难度系数 | ★★★ |
涉及团队 | IT团队,安全团队 |
概要 | 用户通常可以使用VPN或身处办公网络中访问整个专用网络。零信任框架要求用户只能访问完成指定任务所需的特定网段。零信任网络解决方案允许用户远程访问本地网络,但要基于用户、设备和其他因素执行细粒度策略。 |
步骤 | 1. 配置ZTNA可以访问专用网,通常通过应用连接器、GRE或IPSec隧道。 2. 使用MDM在用户设备上安装ZTNA客户端。 3. 设置策略,对专用网络的用户访问进行分段。 |
分支机构之间使用宽带互联网连接 | |
难度系数 | ★★★ |
涉及团队 | IT团队,网络工程团队 |
概要 | 专用网络场所之间(例如数据中心和分支机构)的连接通常通过MPLS链路或运营商提供的其他形式专用链路创建,这些MPLS链路通常费用较高。随着商业互联网的品质提升,组织可以通过安全隧道在互联网上路由流量提供相同级别的安全访问,大幅降低成本。 |
步骤 | 1. 选择两个MPLS的连接点作为起始点。这些点必须以某种形式连接到互联网。 2. 在互联网线路上建立一对冗余Anycast GRE或IPsec隧道,连接到云WAN服务商的边界网络。 3. 验证隧道之间的运行状况和连接情况。测试流量工作负载的性能(吞吐量、延迟、丢包、抖动),测试流量尽可能与生产环境的流量相似。 4. 更改路由策略,将生产流量从MPLS迁移到互联网隧道。 5. 在下一个MPLS连接点重复上述操作。 6. 退订MPLS线路。 |
对应用交付关闭互联网上所有入站端口 | |
难度系数 | ★ |
涉及团队 | 网络工程团队 |
概要 | 使用扫描技术找到开放的入站网络端口是一种常见的攻击方式。零信任反向代理允许在不开放任何入站端口的前提下安全地开放Web应用。应用的DNS记录是应用唯一公开可见的记录,且受零信任策略保护。作为额外的安全措施,可通过ZTNA服务使用内部/私有DNS(详见下文)。 |
步骤 | 1. 安装反向代理应用连接器,通常是同一网络中的守护程序或虚拟机。 2. 将反向代理应用连接到应用连接器。 3. 通过防火墙规则关闭私有网络的所有入站端口。 |
应用包括存在组织数据或执行业务流程相关的任意资源。组织必须首先了解已有的应用,然后为每个应用创建零信任策略,或者在某些情况下阻断未经批准的应用。
监控邮件应用,过滤钓鱼企图 | |
难度系数 | ★ |
涉及团队 | 负责邮箱配置的团队,通常为IT团队 |
概要 | 电子邮件是为数不多的攻击者可以不受限地接触员工的通信信道之一。 部署安全邮件网关是防止恶意或不可信邮件到达员工的关键步骤。此外,对于无需完全阻断的可疑链接,安全团队应考虑在隔离的浏览器中进行检查。 |
步骤 | 1. 配置域MX记录指向安全邮件网关服务。 2. 在前几周时间内监控误报。 3.(加分项)对疑似的可疑邮件链接执行基于链接的浏览器隔离。 |
列出所有企业应用清单 | |
难度系数 | ★★ |
涉及团队 | 安全团队 |
概要 | 对于安全团队来说,了解全企业所使用的完整应用清单至关重要。 安全团队经常会发现企业中正在使用未经批准或未知的应用,通常被称为“影子IT”。具有 TLS解密功能的安全Web网关可用于识别应用,也可用于阻止未经批准的应用或应用用户,如个人网盘帐户。 |
步骤 | 1. 在安全Web网关中启用影子IT扫描。 2. 确保在用户设备上安装了安全Web网关。 3. 允许2-3周的用户流量。 4. 查看已识别应用列表。 5. 使用安全Web网关策略阻止任何未经批准的应用。 6. 使用零信任策略保护批准的应用。 |
对应用执行零信任策略 | |
难度系数 | ★(对于最关键应用) ★★★(对于所有应用) |
涉及团队 | 安全团队,应用开发团队,IT团队 |
概要 | 应用必须受零信任策略保护,策略在认证和授权访问之前应考虑用户身份、设备和网络环境。应用应具有执行最小权限的细粒度策略,尤其是对于包含敏感数据的应用。存在三种主要的应用类型,零信任安全模式因这些应用类型而异。主要的应用类型包括: 1. 私有的自托管应用(只能在企业网络寻址) 2. 公共的自托管应用(可通过互联网寻址) 3. SaaS应用 注意:如果设备环境或合规状态是必需的安全策略,则通常需要在设备上安装客户端软件。 |
步骤 | 私有的自托管应用 1. 在应用与零信任策略层之间创建加密隧道,通常为应用连接器、GRE或IPSec隧道。 2. 为ZTNA设备客户端用户提供私有DNS解析器。 3. 根据用户、设备和网络环境创建策略,确定可访问应用的人。 公共的自托管应用 1. 将权威DNS或CNAME记录指向应用反向代理。 2. 确保应用网络的所有入站端口关闭。 3. 根据用户、设备和网络环境创建策略,确定可访问应用的人。 SaaS应用 对于SaaS应用,可通过几种不同方式执行零信任策略。 (一)身份代理 一些云服务商提供的身份代理允许执行与自托管应用反向代理相同的策略,这要求将身份代理设置为SaaS应用的SSO服务提供方。 1. 删除SaaS应用的已有SSO 集成(如存在)。 2. 将身份代理与SaaS应用集成。 3. 确保为创建和更新用户发送正确的SAML属性。 4. 根据用户、设备和网络环境创建策略。 (二)安全Web网关和单点登录 另一种方法是使用现有的单点登录服务来控制哪些用户可以或不可以访问 SaaS应用,然后使用具有专用IP地址的安全Web网关确保只有具有流量检查功能的受控设备用户才可以访问SaaS应用。 1. 将SaaS应用添加到单点登录服务。 2. 创建策略指定哪些用户可获授权。 3. 将安全Web网关实例的IP地址添加到SaaS应用的允许IP列表(大多数 SaaS应用在基本安全设置中支持允许IP列表)。 4. 创建安全Web网关策略,控制可以访问SaaS应用的用户。 |
保护应用防护7层攻击(DDoS,注入,僵尸网络等) | |
难度系数 | ★ |
涉及团队 | 安全团队,应用开发团队 |
概要 | 任何自托管应用都可能受到7层攻击,包括DDoS、代码注入、僵尸网络等。 安全团队应在所有可私有和公开寻址的自托管应用前部署Web应用程序防火墙和DDoS防护措施。 |
步骤 | 1. 添加任意公共应用的权威DNS记录。 2. 启用Web应用防火墙和DDoS防护。 |
执行HTTPS和DNSsec | |
难度系数 | ★ |
涉及团队 | 安全团队,应用开发团队 |
概要 | 任何自托管Web应用都应使用HTTPS和DNSSec,这可以防范潜在的包嗅探或域劫持。 |
步骤 | 1. 添加任意公共应用的权威DNS记录。 2. 将HTTPS设置为严格,并启用DNSSEC。 |
完成上述流程后,已经对组织架构创建了所有零信任元素。架构中将生成大量有关网络内部情况的数据,此时应实施数据防泄漏和日志记录。已有全套的流程和工具用于将敏感数据保留在企业内部,并标记出所有潜在的数据泄露。组织必须首先了解敏感数据的位置,然后建立零信任控制,阻断敏感数据访问和泄露。
创建流程对敏感应用记录并检查流量 | |
难度系数 | ★★ |
涉及团队 | 安全团队 |
概要 | 安全Web网关解决方案可以将用户流量日志发送到SIEM工具,安全团队应定期检查发给敏感应用的流量日志。 可以在SIEM中设置和调整针对异常或恶意流量的特定告警。 |
步骤 | 1. 确保使用SWG代理所有发送到敏感应用的用户流量。 2. 在SWG和SIEM之间启用日志推送或拉取功能。 3. 设置安全团队查看流量日志的具体时间间隔。 4. 根据一段时间内的观察结果在SIEM中配置告警。 |
定义敏感数据及其位置 | |
难度系数 | ★★ |
涉及团队 | 安全团队,合规/法务团队 |
概要 | 敏感数据因行业而异,例如科技企业关注保护源码,而医疗提供商则重点关注监管合规。确定什么是企业的敏感数据及其所在位置非常重要,敏感数据的准确定义和清单可能影响数据防泄漏工具的实施。 |
步骤 | 1. 在SIEM工具中或直接在安全Web网关中查看流量日志,识别目标应用和数据存储。 2. 盘点已有敏感数据。 |
防止敏感数据离开应用 | |
难度系数 | ★★★ |
涉及团队 | 安全团队,IT团队,合规/法务团队 |
概要 | 串联的DLP解决方案可检查用户流量和文件上传/下载中的敏感数据。敏感数据可以在已知的预定义列表(如身份证号,社保号,信用卡号等)中获得,也可以由管理员手动配置特定模式。应为敏感应用启用DLP控制,并可针对所有用户流量进行扩展。 |
步骤 | 1. 安装DLP提供方的客户端软件。 2. 确保现有的VPN或其他工具不会中断连接。 3. 确保启用TLS解密,每台用户计算机上都存在根证书。 4. 启用DLP控制。 5. 监控DLP事件,验证其是否有效或存在误报。 |
确认SaaS工具中错误配置和公共共享数据 | |
难度系数 | ★ |
涉及团队 | 安全团队 |
概要 | CASB通过API与主要SaaS应用集成,然后CASB将扫描SaaS应用查找已知的错误安全配置和公开共享数据。安全团队应定期查看CASB检查结果。 |
步骤 | 1. 参考供应商的API集成指导连接每个SaaS应用。 2. 对每个SaaS应用进行扫描。 3. 查看扫描结果,并在适当的情况下在每个SaaS应用中进行修复。 |
创建SOC执行日志检查,策略升级和攻击缓解 | |
难度系数 | ★★ |
涉及团队 | 安全团队 |
概要 | SOC是安全团队在零信任框架中的关键功能,应聚焦于检查日志信息和安全告警,并调整所有核心安全产品的零信任策略。 |
步骤 | 1. 在SIEM中或直接在安全产品中查看日志。 2. 识别所有告警或异常行为。 3. 根据结果更新每个工具的零信任策略。 |
及时了解已知威胁者的最新动态 | |
难度系数 | ★ |
涉及团队 | 安全团队 |
概要 | 有很多编辑汇总已知威胁者和恶意网站列表的提供商,可以将这些威胁源自动加载到安全Web网关,保护用户免受攻击。 |
步骤 | 1. 将威胁源连接到安全Web网关。 2. 在DNS和HTTP过滤中启用威胁防护。 |
为组织的所有其他元素构建零信任架构后,可以采取一系列措施将组织推进到零信任的稳定状态,从而确保与未来架构保持一致。
通过DevOps方式对新资源执行一致策略 | |
难度系数 | ★★★ |
涉及团队 | 安全团队,应用开发团队 |
概要 | 基础设施自动化工具允许开发人员在应用开发管道中自动部署零信任安全措施。创建内部测试流程,如果通过零信任反向代理保护部署了应用,则将触发该测试。 |
步骤 | 1. 对新应用定义标准策略。 2. 在应用部署流程中添加需要零信任反向代理保护的测试。 |
新接入资源自动扩展 | |
难度系数 | ★★★ |
涉及团队 | 安全团队,应用开发团队 |
概要 | 负载均衡器是确保每个应用基础设施都不会过载的有效工具,并可在单个应用服务器出现故障时提供一定程度的冗余。 如果超过了特定的流量阈值,可以使用基础设施自动化工具来启动新资源。 |
步骤 | 1. 在零信任反向代理应用连接器前面配置负载均衡器。 2. 根据流量和/或用户地理位置启用负载均衡规则。 3. 实施基础设施自动化策略,如果特定的应用组产生了足够的负载,则将提供新的虚拟机。 |
注:以上部分内容源自网络,如有侵权请联系删除。
●
●
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...