2024年3月5日,美国国家安全局发布了针对网络和环境组件的零信任新指南,旨在帮助企业通过零信任框架原则来抵御外部网络攻击。
一、基本内容
2022年以来,美国已连续发布多个零信任战略和体系架构文件,开展了多项零信任应用项目。美国国家安全局将零信任架构的主要能力归纳为7大支柱,分别是用户、设备、应用和工作负载、数据、网络和环境、自动化和编排、可视化和分析(见下图)。
此次发布的新指南,主要针对网络和环境组件,包括所有硬件和软件资产、非人实体以及相互通信协议。
(一)主要组成
针对网络和环境组件的零信任模式,主要通过数据流映射、宏观和微观分段以及软件定义网络提供深入的网络安全。对于其中的每一项,企业都必须达到特定的成熟度,才能继续按照零信任原则进行建设。
1.数据流映射。数据流映射首先要确定数据存储和处理的位置和方式。当企业对数据流有了全面的清点和可视性,并能减少所有当前的、新的或异常的路径时,就达到了高级成熟度。
2.宏观分区。通过宏观划分,企业可以为每个部门的用户创建网络区域,从而限制网络上的横向移动。比如,除非有明确要求,否则会计人员不需要访问人力资源专用网段,因此威胁行为者可利用的攻击面有限。
3.微观分段。通过微观分段,网络管理被分解成更小的组成部分,并实施严格的访问策略来限制横向数据流。对此,新指南解释为:“微分段涉及将用户、应用程序或工作流程隔离到单个网段中,以进一步减少攻击面,并限制发生入侵时的影响”。
4.软件定义网络。通过软件定义网络(SDN)组件,可以对微分段进行更细颗粒度的控制,从而提供可定制的安全监控和警报。SDN 允许从集中控制中心控制数据包路由,提供更好的网络可见性,并允许对所有网段执行策略。
(二)成熟度等级
除了横向的四个组成部分,纵向上还划分了四个成熟度等级:从准备阶段到高级阶段。
美国国防部内四大网络空间作战机构之间的“双帽”关系
高级阶段实施广泛的控制和管理系统,以实现最佳的可见性和监控,并确保网络的增长。
设计和构建零信任环境是一项复杂的任务,需要系统地经历各个成熟阶段。如果方法得当,企业架构就能抵御、识别和应对试图利用弱点的威胁。
二、分析研判
美国持续推进零信任架构落地,既可以减少网络资源的访问者数量,也可以限制恶意行为,从而大大降低网络安全事件的发生概率。此外,安全自动化是零信任架构的重要组成部分,采用零信任架构还可以增强网络自动化管理水平,节省响应安全事件所需的时间和人力,提高效率。部署零信任架构还可以降低网络运营风险,确保网络空间的有效管控。
三、应对策略
美国的零信任架构已经从概念研究逐步转向实际应用,其成功经验值得我学习和借鉴。建议我把握网络安全技术转型的良好机遇,结合我国国情和技术实际,加快相关标准的制定,开展零信任架构应用实践,提升我网络安全防护能力。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/461559.html
