网络威胁的普遍性、隐蔽性和严重性日益增强,漏洞的潜在后果比以往任何时候都更加严重。随着安全团队的怀疑和警惕日益增加,接受“永不信任,始终验证”原则(也称为零信任网络访问 (ZTNA))是有意义的。ZTNA 旨在对每个用户和设备进行身份验证和授权,无论他们身在何处,然后再授予他们所需的应用程序和资产的访问权限。
当经过身份验证的用户只能访问他们工作绝对需要的资源时,数据被盗和泄露的风险就会自动降低。但它并没有完全消退。根据Netwrix 的 2023 年混合安全趋势报告 ( PDF ) ,最近的数据表明,尽管94%的组织对自己对 ZTNA 的理解充满信心,但去年仍有 68% 的组织遭受了网络攻击。
ZTNA 为何失败
ZTNA 失败的主要原因之一是大多数 ZTNA 实施往往完全专注于保护远程访问。认为办公室范围内的用户本质上可以完全信任的信念违反了 ZTNA 的“永不信任”方针。它忽视了安全办公场所内心怀不满的员工和 IT 员工所构成的威胁,这些员工和 IT 员工拥有真实的凭证,但具有恶意。此外,即使是善意的员工也容易在判断和日常操作中犯错误。
ZTNA 仅远程方法的另一个问题是管理员无法再为现场和场外用户构建单一应用程序访问策略。仅此一点就会造成漏洞并影响组织的运营效率。然而,将 ZTNA 扩展到内部用户也面临挑战:
网络基础设施:要在办公室内实施 ZTNA,组织需要确保其网络基础设施支持必要的技术和协议。ZTNA 的传统方法可能涉及部署 SDP(软件定义边界)、VPN(虚拟专用网络)或可以在本地网络内实施 ZTNA 原则的安全访问网关。
网络分段: ZTNA 依靠网络和资源的分段来根据用户身份和设备状态来限制访问。管理员可能必须重新配置其内部网络架构以实施适当的网络分段和访问控制。
旧设备和应用程序:基于代理的 ZTNA 有时与组织内已使用的某些设备不兼容。内部数据中心托管的旧系统和应用程序也可能无法与 ZTNA 无缝集成。
尽管存在这些挑战,将 ZTNA 功能扩展到办公室内的用户对于提供安全访问和改善整体安全状况至关重要。
RBAC+ 可以将 ZTNA 扩展到办公室内的用户和 IT 管理员
RBAC+ 扩展了 RBAC(基于角色的访问控制)的功能,它将访问策略与角色关联起来,并将用户分配给特定的角色。RBAC+ 进一步整合用户属性、环境因素和即时态势感知,以实施更加动态、上下文感知和细粒度的访问控制策略。
RBAC+ 允许组织将工作角色映射到 ZTNA 框架内的访问策略。这确保了无论用户在办公室还是在外部,对IT资源的访问都将由相同的ZTNA策略和用户身份决定。除了用户身份之外,环境和上下文因素(例如设备姿势、用户位置和一天中的时间)也指导 ZTNA 访问控制实时检测异常并防止权限滥用。
现代组织现在正在尝试打破孤岛,采用跨职能团队,采用 DevOps 和 SASE(安全访问服务边缘)等方法,将网络和安全集成在单个管理控制台后面,以实现更好的可见性、网络性能和安全覆盖范围。借助 RBAC+,组织可以在全球范围内或按地点定义和管理当今动态且重叠的工作角色。他们可以自定义角色,并为跨网络和安全框架的各个功能定义极其精细的访问策略。
持续监控和高级 DNS 保护增强了 ZTNA
ZTNA 的核心是在用户被授予访问权限后持续检查流量的能力。成功的 ZTNA 实施利用人工智能和机器学习算法,根据历史数据和可用的威胁情报来识别可疑活动。这确保了经过身份验证和授权的用户的任何可疑访问尝试或偏离正常行为的行为都可以立即被检测到并得到缓解,从而降低内部攻击成功的风险。
高级 DNS 保护在强化 ZTNA 方面也发挥着至关重要的作用,因为网络犯罪分子经常寻求重定向或操纵 DNS 请求来挖掘凭据或窃取数据。组织可以使用高级 DNS 保护,例如 DNS 过滤、DNSSEC(DNS 安全扩展)以及 DNS 监控和分析,来检测恶意 DNS 活动,并识别和阻止用于网络钓鱼和其他形式网络攻击的域。通过防止内部人员访问恶意域,组织可以提高 ZTNA 的整体有效性并降低内部 IT 资源的风险。
利用全面的 ZTNA 功能加强访问控制
众所周知,威胁行为者会利用访问控制和授权方面的弱点。他们总是在寻找特权帐户凭据,而暗网提供了一个易于访问的平台来购买它们。这就是为什么访问控制必须超越凭证和 MFA(多重身份验证)的原因。虽然 ZTNA 是实施持续验证和严格访问控制的关键策略,但它必须辅以其他组件以实现全面的安全性。作为起点,全面的 ZTNA 必须一致、无缝地将零信任访问扩展到办公室和远程用户。它还应该通过持续监控和高级 DNS 保护来加强,以应对绕过身份验证和授权机制的内部威胁和攻击。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...