日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

盡管企業(yè)每年都在增加對(duì)網(wǎng)絡(luò)安全技術(shù)、基礎(chǔ)設(shè)施和服務(wù)的支出，但威脅參與者仍在想方設(shè)法躲過(guò)這些防御。這主要有兩個(gè)原因：第一，人為錯(cuò)誤：不幸的是，許多用戶仍然沒(méi)有認(rèn)真對(duì)待安全問(wèn)題。他們?cè)L問(wèn)不應(yīng)該訪問(wèn)的網(wǎng)站，點(diǎn)擊不應(yīng)該點(diǎn)擊的東西，在不應(yīng)該輸入憑據(jù)的地方輸入憑據(jù)。結(jié)果，他們的系統(tǒng)、身份和憑據(jù)被攻破，攻擊者可以輕松地攻破系統(tǒng)。

第二，對(duì)應(yīng)用程序的攻擊：攻擊者正在攻擊面向互聯(lián)網(wǎng)的應(yīng)用程序，并利用他們代碼中的錯(cuò)誤和漏洞。這是因?yàn)樵S多第三方應(yīng)用程序享有隱式信任，企業(yè)通常不會(huì)檢查它們的流量。最近的MoVEit黑客攻擊就是一個(gè)很好的例子，攻擊者利用了一個(gè)漏洞，破壞了1000多個(gè)企業(yè)的環(huán)境，竊取了6000多萬(wàn)人的記錄。

城堡和護(hù)城河的安全方法已經(jīng)過(guò)時(shí)了

隨著越來(lái)越多的員工在公司外圍工作，并在云中訪問(wèn)數(shù)據(jù)和SaaS應(yīng)用，傳統(tǒng)的城堡和護(hù)城河模式對(duì)網(wǎng)絡(luò)安全不再適用。此外，每個(gè)暴露于漏洞的企業(yè)都有防火墻，因此防火墻并不總是有效的。威脅參與者現(xiàn)在正在加密所有不好的東西，這些加密的流量正在使用合法通道(如端口443)直接通過(guò)防火墻。解密流量并不總是可行的。傳統(tǒng)防火墻通常缺乏能力或性能來(lái)檢查傳入的巨大云計(jì)算流量。出于這些原因，許多專家認(rèn)為零信任是答案。

零信任實(shí)施建議和最佳做法

在現(xiàn)實(shí)世界中，如果攻擊者出現(xiàn)在您的大樓并出示公司頒發(fā)的有效ID，他們將獲得對(duì)大樓的全面訪問(wèn)權(quán)限。他們可以去任何部門(mén)，查看任何房間，進(jìn)入大樓的所有不同區(qū)域，然后離開(kāi)。

零信任基于任何用戶、應(yīng)用程序或設(shè)備都不應(yīng)被隱式信任的原則。這意味著，如果攻擊者出現(xiàn)在您的建筑中，他們的身份將在他們?cè)L問(wèn)的每個(gè)房間和部門(mén)進(jìn)行驗(yàn)證，而不僅僅是在前門(mén)。美國(guó)政府現(xiàn)在要求所有政府機(jī)構(gòu)和承包商必須采用零信任技術(shù)和框架。

研究表明，雖然90%的企業(yè)正在采用零信任，但大多數(shù)企業(yè)在釋放其全部潛力方面存在問(wèn)題。這是因?yàn)榱阈湃瘟钊死Щ?，安全供?yīng)商一直在推銷(xiāo)它，就像可以買(mǎi)到現(xiàn)成的技術(shù)一樣。實(shí)際上，零信任更像是一種架構(gòu)(一種框架)，沒(méi)有什么靈丹妙藥。零信任就是最小化或控制爆炸半徑。以下是實(shí)施零信任時(shí)應(yīng)牢記的建議：

1、使用現(xiàn)代方法重新開(kāi)始實(shí)施零信任

當(dāng)百視達(dá)試圖智勝Netflix時(shí)，他們將一堆DVD播放器連接到了云上。這顯然沒(méi)有產(chǎn)生正確的保真度，百視達(dá)破產(chǎn)了。從根本上說(shuō)，他們做出了錯(cuò)誤的架構(gòu)選擇。同樣，在零信任的情況下，重要的是考慮技術(shù)債務(wù)并從頭開(kāi)始構(gòu)建您的安全。如果企業(yè)只是簡(jiǎn)單地將安全層放在上面，他們將造成更大的危害，引入更多漏洞，并為管理安全創(chuàng)造更多復(fù)雜性。

2、使用安全云減少攻擊面

永遠(yuǎn)記住這一點(diǎn)：如果你可以到達(dá)，你就是可以突破的。因此，如果應(yīng)用程序暴露在互聯(lián)網(wǎng)上，攻擊者很可能會(huì)破壞它。因此，應(yīng)用程序和服務(wù)器必須始終放置在安全云之后，以避免此攻擊媒介。現(xiàn)在，當(dāng)攻擊者敲你的門(mén)時(shí)，那是一個(gè)總機(jī)，而不是門(mén)?？倷C(jī)說(shuō)：“好吧，你想去哪里?我會(huì)為你架起連接的橋梁。我不會(huì)將您直接連接到該應(yīng)用程序。這是零信任體系結(jié)構(gòu)的一個(gè)重要元素。

3、使用分段以防止側(cè)向移動(dòng)

雖然網(wǎng)絡(luò)分割并不新鮮，但零信任鼓勵(lì)微分割。這意味著企業(yè)應(yīng)在粒度級(jí)別對(duì)網(wǎng)絡(luò)、工作負(fù)載和應(yīng)用進(jìn)行細(xì)分或分叉。如果攻擊者入侵您的環(huán)境，微分段有助于限制橫向移動(dòng)，遏制威脅，并限制惡意軟件在整個(gè)環(huán)境中傳播。

4、部署細(xì)粒度用戶訪問(wèn)

人為錯(cuò)誤是不可避免的。這就是大多數(shù)云入侵和勒索軟件攻擊發(fā)生的原因。如果攻擊者獲得對(duì)特權(quán)用戶帳戶的訪問(wèn)權(quán)限，他們可以利用該帳戶竊取敏感信息、使系統(tǒng)脫機(jī)、劫持系統(tǒng)或在網(wǎng)絡(luò)中橫向移動(dòng)并危害其他系統(tǒng)。在一個(gè)零信任的世界里，用戶可以訪問(wèn)他們應(yīng)該訪問(wèn)的東西，但除此之外什么都沒(méi)有。

被檢查的不僅僅是一個(gè)身份。您必須查看一些上下文參數(shù)(訪問(wèn)時(shí)間、發(fā)出請(qǐng)求的位置、設(shè)備類(lèi)型等)。要做到這一點(diǎn)，企業(yè)必須實(shí)施最小特權(quán)原則，應(yīng)用精細(xì)權(quán)限，并部署既考慮身份又考慮環(huán)境的身份驗(yàn)證機(jī)制。

5、始終牢記用戶體驗(yàn)

扼殺零信任項(xiàng)目的最快方式是擾亂用戶。如果您正確部署架構(gòu)，用戶體驗(yàn)實(shí)際上可以得到提升，這有助于減少內(nèi)部摩擦。例如，如果身份驗(yàn)證是無(wú)縫的，訪問(wèn)和連接將更容易;用戶將欣然接受零信任。

違規(guī)是不可避免的——僅鎖門(mén)窗是不夠的。企業(yè)需要的是一種安全級(jí)別，即護(hù)送被蒙住眼睛的用戶到大樓所在的位置，然后護(hù)送他們到他們需要去的房間，然后護(hù)送他們離開(kāi)，同時(shí)確保沒(méi)有任何東西被帶走或遺落。然而，如果企業(yè)遵循最佳實(shí)踐并專注于正確的架構(gòu)和用戶體驗(yàn)，他們肯定會(huì)建立更具彈性的網(wǎng)絡(luò)安全態(tài)勢(shì)，這是當(dāng)務(wù)之急。

本文名稱：關(guān)于實(shí)施零信任的五條切實(shí)可行的建議
文章分享：http://www.5511xx.com/article/cojgips.html