加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 电商 > 正文

NIST 几条零信任关键点

发布时间:2022-03-27 01:39:35 所属栏目:电商 来源:互联网
导读:现在对零信任的定义满天飞,总能听到各种像原理、支柱、基
  现在对零信任的定义满天飞,总能听到各种像原理、支柱、基础、要点之类的词。虽然说对零信任的定义暂时来看并不绝对,但是必然还是需要一个共同能理解的概念。因此,NIST发布了NIST SP 800-27零信任结构,描述了零信任的七个要点。
  
  1. 所有数据来源和计算服务都必须被认为是资源
 
  现在已经不是只把终端用户设备或者服务器认为是资源的时代了。如今的网络由各种动态的设备组成,包括从传统的服务器以及端点,到像功能即服务(function-as-a-service, FaaS)这类能在特定许可下对环境中其他资源进行操作的动态云计算服务。
  
  2. 无论网络位置在哪都需要确保所有通信安全
 
  在零信任环境中,会落实零信任网络访问(zero trust network access, ZTNA)概念。这和传统的通过虚拟专用网进行远程接入相比有所不同。
  
  3. 对每个企业资源的接入需要基于会话进行许可
 
  “人就和季节一样,会变化。”这个说法在数字身份时代更为可信。在分布式计算环境的动态环境下,云原生结构和分布的员工会暴露大量的威胁。信任的概念不能超过一个单独的会话窗口。
 
  这意味着就算在之前的会话信任某个设备或者身份,也不代表着会自然地在之后的会话中对其信任。每个会话都应该以相同严格的标准来评估其从设备和身份而来的,对自身环境的威胁。和用户相关的不正常行为,或者设备安全状态的改变,都是可能会发生的问题,并且可能会发生的事情;并且这些事情都应该和每个会话相关联,对是否允许接入,以及接入的权限范围进行评估。
 
  4.   企业需要尽可能多地收集当前的资产、网络基础设施和通信的状态信息,并且将其用于改善自己的安全态势。
 
  技术环境受到大量威胁的影响,因此企业必须保持连续监控,以确保能感知到自身环境内发生的事件。零信任架构由NIST 800-207中提到的三个关键组件组成:
 
  策略引擎
 
  策略管理
 
  策略执行点
 
  在现有状态中获得的资产、网络基础设施和通信信息可以被这些组件用于提升决策能力,并且确保会形成风险的决策能避免出现。
 
  零信任不只是一次旅途
 
  许多组织都会犯的一个错误在于认为零信任是一个需要到达的目的地;他们认为只要他们买了正确的工具,就能在自己的环境中实现零信任。这显然不是零信任生效的方式。当然,工具可以帮助零信任的落地,使组织更接近零信任结构,但这并非是万灵药。就跟大部分IT和网络安全一样,它由人、流程和技术组成。
 
  就像NSA发布的《拥抱零信任安全模型》文中那样,最重要的建议是从一个成熟的方式实践零信任,包括了最初的准备,以及基础、进阶和高级阶段的成熟度变化。
 
  这就意味着,第一步是进行准备:知道自己现在的位置、需要填补和缺陷、当前架构、实践和流程如何能和上述零信任的关键要点相匹配。然后,设定一个如何解决这些问题的计划。最重要的是,要知道这些都是需要时间来检验的。
 
  点评
 
  零信任的概念从去年才开始在国内逐渐受到重视。但是,零信任的落地并非一蹴而就的,除了技术之外,不仅需要制度和方法上的支持,也需要时间慢慢等待效果的出现。

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读