在蓝天-1的服务器走廊

什么是零信任安全性?

在过去的几年中,零信任安全已成为一个受欢迎的短语。无数组织已经接受了这个概念,但许多其他人仍然留在黑暗中,究竟是什么意思。 
 
零信任框架的想法于2010年出现(与 福尔斯特 引领指控)作为对之前的响应,安全性不足。具体而言,公司历史上授予过度的权限和信任员工,从而实现违规和数据泄漏。这是因为他们将企业网络视为一个 城堡必须从外部威胁中辩护 通过像防火墙这样的遗留工具(Moats),同时在城堡内的安全性很少考虑。换句话说,这种传统的安全方法缺乏粒度,而且超越了对网络的访问;一旦用户进入网络,保护方面几乎没有。这意味着Insider威胁以及获得对网络的访问权限的外部威胁可以轻松跨内部资源横向移动,并扩大其邪恶方案所做的损害。 
 

零信任安全

虽然即使在本地的日子里,缺乏安全性的安全性也不足,而其缺点现在比以往任何时候都更加明显。崛起 , 拜托, 和 遥远的工作,事情已经发展到远远超过了专注于网络访问的程度足以用于安全性。现在,数据现在存储,访问,并在更多的设备,应用程序,网页目的地和地理位置中共享。组织仍然专注于他们的呻吟声,但他们的城堡完全搬家了。因此,零信任现在比以往任何时候都更重要。 

顾名思义,Zero Trust是一个系统,默认情况下,用户默认为Zero Trus。避免了过多的权限和访问公司资源(是否是文件,数据模式,云应用程序,本地工具或其他东西)仅限于仅适当授权的用户(这也称为 最小特权)。而不是完全依赖于无法提供所需保护的简单的护城河,而是利用零信任框架的组织 部署现代,智能的安全措施 因此,他们可以颗粒地保护任何和所有公司资源 - 无论在何处,无论在任何地方都可以访问。

身份和访问管理

Identity和Access Management(IAM)是一类安全工具和功能,允许组织确保其用户已正确认证,并且仅授权,仅授权安全访问企业资源。在零信任方面,IAM功能显然是关键,以确保解决最小特权的原则。换句话说,IAM对于验证只有正确的人在他们需要时才能获得敏感数据或系统。 

单点登录(SSO)是一个表格赌注IAM工具,它是所有组织托管资源的用户身份验证 - 从本地工具到云应用程序和超越。这使得能够实现一致的身份验证,从而实现智能安全性。对于真正的零信任,SSO应该使用多因素身份验证(MFA)加强,因此在提供凭据后提示用户进行额外的身份验证方法;例如,通过通过文本或电子邮件发送的SMS代码,或者每个用户物理携带的唯一硬件令牌。此外,当用户展示可疑活动时,应以升级,实时方式部署MFA。 这减少了受损凭证导致违规行为的可能性。作为IAM能力的最终说明,上下文访问控制根据用户的上下文管理对SaaS应用程序或IAAS平台等特定资源的访问。例如,可以通过用户设备类型,作业功能,地理位置或自定义因子来控制访问。 

数据丢失预防

数据丢失预防(或数据泄漏预防)描述了许多能力,其提供对数据的多种访问水平,以防止未经授权的访问和非法使用。因此,DLP对实现零信任安全性非常有帮助,并应该在运输途中和休息时执行敏感信息。 

DLP解决方案有多种方式可以识别应受到保护的数据模式。更简单的工具扫描文档中的“机密”或“敏感”等关键字,并使用基本正则表达式来标识社会安全号码(XXX-XX-XXXX)等模式的实例。更多已开发的解决方案在使用逻辑运算符(以及不)和数学运算符(计数)时,提供高级Regex以扫描多个数据模式。此外,高级解决方案可以扫描文件格式,指纹(模板)和精确的数据匹配。 

通过上述机制,DLP解决方案可以识别需要保护的敏感或受调节的文件,字段和数据。从那里,他们可以采取各种行动;例如,在电子邮件中删除敏感文本,将敏感文件加密下载,或将密钥文档隔离为admin文件夹。还有类似数字版权管理(DRM)的功能,需要额外的身份验证,并通过Web浏览器提供对文件的只读访问。  

安全访问服务边

关于零信任安全性与零信任安全之间的关系取比的问题 sase(安全访问服务边缘) 以及它们是互斥还是兼容。幸运的是,这两个是高度互补的。虽然Zero Trust是确保适当的身份验证和急需访问的哲学,但SASE指的是在边缘部署的云交付平台,提供一致和全面的保护无线数据。作为包含各种互补安全技术的集成平台(包括上述那些),在追求零信任框架时,SASE产品是必不可少的。 

通过 云访问安全经纪人(Casb) 功能,SASE平台为制裁云资源中的数据提供端到端保护,包括AWS和Azure等IAAS平台以及托管SAAS,如Office 365和Salesforce。反向代理提供可防止可防止从任何设备的访问的无代理部署模式,包括个人和远程端点,这些模式在现代工作环境中越来越常见。

安全Web网关(SWG) 技术是Sase产品的另一个核心组件。 SWGS以URL过滤的形式提供Web安全性以及块泄露泄漏和威胁的实时DLP和ATP策略。他们还通过阻止它们来保护Shadow IT(非托管应用程序),渲染它们只读,并将用户授予制裁替代品。在哪里 SWG在用户端点本地部署增强,可扩展性和性能。

零信任网络访问(ZTNA) 是这些平台内的另一个关键能力。与VPN不同(粘在上面描述的Castle-And Moat风格),ZTNA为特定的内部部署资源而不是网络上的所有内容提供安全访问。此外,它们可以执行粒度,实时数据和威胁保护策略。如果可用的无代理部署选项可用,则甚至可以在不需要软件安装的情况下扩展对个人端点的安全访问。 

云解决方案简介图像

贝尔格斯 SASE

想在动作中看到BitGlass解决方案吗?

请求下面的免费试用版。


请求免费试用