Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Zero Trust không nên là điều bình thường mới

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 164

Mọi người thích chào hàng SP 800-207 của NIST [Kiến trúc Zero Trust] là thứ mới hấp dẫn, nhưng thực tế là, zcác mô hình mạng tin cậy ero đã tồn tại hơn một thập kỷ. Google đã vượt qua giai đoạn bằng chứng về khái niệm với mô hình BeyondCorp và vào thời điểm năm 2010, công ty đã có mạng lưới không tin cậy hoạt động tốt nhất trên hành tinh.

Tua đi hàng chục năm, và sự tin tưởng bằng không một lần nữa là cơn sốt của ngành an ninh mạng. Câu hỏi là: Nếu nó là?

Không tin tưởng không phải là viên đạn bạc như nhiều người, và không tin tưởng không phải là điều bình thường mới.

Vấn đề với Zero Trust là gì?

Tóm lại: Không tin tưởng cho rằng không có kết nối mạng nào, nội bộ hay bên ngoài, có thể được tin cậy. Mọi người dùng xác thực bằng đa yếu tố, mọi xác thực của hệ thống được xác minh lại nhiều lần trên mạng và chính sách truy cập mặc định cho mọi thứ là 'từ chối'.

Các phương pháp chính để thiết lập và duy trì độ tin cậy bằng không là phân đoạn vi mô, mạng lớp phủ, quản trị danh tính nâng cao và kiểm soát truy cập dựa trên chính sách.

Đặt sang một bên các vấn đề và chi phí liên quan đến việc kết hợp độ tin cậy bằng không vào mạng hiện có, mô hình không tin cậy bắt đầu bị xói mòn khi các nguồn lực của hai tập đoàn cần kết hợp tốt với nhau. Hoạt động được liên kết, từ xác thực đến liên kết đám mây được gộp chung tài nguyên, không cùng tồn tại tốt với sự tin cậy bằng không.

Đây là nơi chúng tôi thấy rất nhiều bàn tay vẫy tay về cách làm cho mọi thứ hoạt động. Những thỏa hiệp, lối tắt và sự hy sinh mà các tổ chức cố gắng thực hiện để cho phép liên kết theo mô hình không tin cậy sẽ khiến ngay cả CIO khó tính nhất cũng phải tạm dừng.

Nhưng quan trọng hơn, vấn đề với sự tin tưởng bằng không là con người không làm việc theo cách không tin tưởng và vì một lý do chính đáng. Thật lãng phí thời gian và nguồn lực để xác thực lại danh tính của ai đó nhiều lần khi họ thậm chí còn chưa rời khỏi phòng. Chu kỳ niềm tin của con người chúng ta dựa trên logic, xác suất và quan sát ngẫu nhiên để thiết lập và theo dõi danh tính trong phạm vi có thể quan sát được. Tương tác với mức độ tin cậy thấp hoặc không có xu hướng được coi là có giá trị thấp hoặc thậm chí là thù địch.

Vì vậy, loại mô hình tin cậy nào có thể kết hợp đầy đủ liên kết và mô phỏng các chu kỳ tin cậy của con người và có liên quan hơn?

Điều gì về mạng nhận dạng đầu tiên?

Để mô phỏng một cách hữu ích loại mô hình 'niềm tin có hiểu biết' mà con người sử dụng hàng ngày, chúng ta cần lật ngược toàn bộ khái niệm về sự tin tưởng bằng không. Để làm được điều đó, các tương tác mạng cần được đánh giá về mặt rủi ro.

Đó là lúc kết nối mạng ưu tiên danh tính xuất hiện. Để một yêu cầu mạng được chấp nhận, yêu cầu đó cần có cả danh tính và ủy quyền rõ ràng; Hệ thống đồng bộ hóa dựa trên Quản lý danh tính tên miền chéo (SCIM) được sử dụng để đạt được điều này. Điều này tự động hóa một cách an toàn việc trao đổi danh tính người dùng giữa các ứng dụng đám mây, mạng đa dạng và nhà cung cấp dịch vụ.

Hãy nghĩ về nó khi liên đoàn được đưa lên một cấp độ hoàn toàn mới. Hoặc có lẽ, một cái mới lớp. Danh tính được thiết lập ở lớp vận chuyển mạng. Điều này có nghĩa là một số tài nguyên truyền thống khó bảo mật nhất (cơ sở dữ liệu, cụm vùng chứa, v.v.) có thể được quản lý tập trung cấp truy cập bằng cách tích hợp chúng với nhà cung cấp danh tính đáng tin cậy.

Bản sắc gắn bó chặt chẽ với khái niệm niềm tin. Tất cả hoạt động mạng được lập chỉ mục nhận dạng tự động, có nghĩa là các kiểu sử dụng dễ theo dõi và mọi nỗ lực truy cập trái phép sẽ được gắn cờ ngay lập tức. Nếu một người dùng hoặc quá trình cố gắng truy cập vào thứ gì đó bất thường, họ sẽ nổi như cồn. Bộ lọc DNS thực hiện hầu hết các công việc nặng nhọc.

Nguy cơ giả mạo danh tính giảm đáng kể vì nhà cung cấp ID hoạt động như một nguồn kiến ​​thức thực sự. Kẻ tấn công sẽ cần chứng chỉ gốc của nhà cung cấp ID để có hiệu lực, một trường hợp rất khó xảy ra.

Về mặt tính toán, quá trình này ít tốn kém hơn nhiều so với mức độ tin cậy bằng không. Trong trường hợp không tin tưởng, công việc kiểm tra và kiểm tra lại xác thực nhiều lần trong bất kỳ giao dịch cụ thể nào sẽ cộng lại. Trong trường hợp ưu tiên nhận dạng, gói sẽ không đi qua cửa trước (hoặc bất kỳ cửa nào ở giữa nếu có liên quan đến các gói giả mạo bên trong) mà không có danh tính phù hợp và các quyền được đính kèm.

Xác thực đa yếu tố là bắt buộc đối với mạng ưu tiên danh tính, nhưng đó không phải là điều xấu trong thời đại ngày nay. Việc kết hợp ưu tiên nhận dạng làm cho VPN trở nên dư thừa, đây chỉ là một câu chuyện buồn đối với các nhà cung cấp VPN.

Zero Trust không nên bao gồm tất cả

Có những nơi mà niềm tin bằng không là hoàn toàn phù hợp. Chắc chắn có những ứng dụng của chính phủ, quốc phòng và lĩnh vực tài chính mà sự tin cậy không tỏa sáng.

Nhưng trừ khi bạn đang tạo mạng của mình từ đầu, bằng không niềm tin yêu cầu một số công cụ trang bị lại tốn kém để triển khai đầy đủ. Điều này làm cho nó không phù hợp với nhiều doanh nghiệp vừa và nhỏ, cũng như bất kỳ tổ chức nào muốn áp dụng mô hình dựa trên liên đoàn nặng nề.

Về lý thuyết, chi phí của việc không tin cậy được cân bằng với chi phí thấp hơn cho mỗi lần vi phạm an ninh. Nhưng nếu một phương pháp như kết nối mạng ưu tiên danh tính có thể hoàn thành công việc, thì sẽ có một phân tích chi phí mới để mang lại lợi ích cần được thực hiện trên cơ sở từng tổ chức.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.