零信任网络安全

于 2024-07-09 14:16:47 发布
阅读量1.3k 收藏 24
点赞数 7
分类专栏: 网络安全 SIEM 文章标签: 零信任 SIEM 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITmoster/article/details/140294182
版权

随着数字化转型的发生,网络边界也在不断被重新定义,因此,组织必须使用新的安全方法重新定义其防御策略。

零信任是一种基于“永不信任,永远验证”原则的安全方法,它强调无论在公司内部或外部,任何用户、设备或网络都不能从本质上被信任。

零信任模型

零信任模型旨在通过帮助组织采取全面的方法来实现强大的网络安全态势,从而加强和保护组织,当组织根据其基础设施的需求遵循不同的技术和策略,而不仅仅是一个独立的策略时,就可以实现这一点。以下是一些零信任准则:

  • 微分段
  • 多因素身份验证
  • 单点登录(SSO)
  • 最小特权原则
  • 持续监控和审核用户活动
  • 监控设备

微分段

微分割是零信任模型中最重要的方面之一,它是将网络边界分解为更易于管理的小型安全区域的过程,这些区域被称为微段。与大型网络相比,微分段更容易监控、实现特定的安全策略以及建立精细的访问和控制,这反过来又提供了对单个网络资源、应用程序和数据的更好的可见性和访问。

微分段可确保攻击面尽可能小,通过这种方式,它减少了组织成为网络攻击牺牲品的机会,它防止流量在网络内横向移动,即服务器到服务器、应用程序到服务器等。组织可以通过多种方式创建微细分,例如,组织可以根据位置、特权数据资产、用户身份(员工或第三方用户)、个人身份信息、虚拟机、重要应用程序、软件等创建它们。

多因素身份验证

通过多重身份验证(MFA)等安全方法,为所有用户和网络资源提供经过身份验证和授权的访问。MFA要求用户使用多种身份验证因素来证明和验证自己的身份,例如通常的用户名密码组合、指纹扫描以及发送到移动设备的代码或一次性密码(OTP)。与双因素身份验证不同,MFA应至少包含三个用于对用户进行身份验证的因素,这三个因素可以是用户知道的东西(密码),用户拥有的东西(身份验证应用程序上的OTP),以及用户本身的东西(指纹等生物识别技术)。

然而,对于组织来说,考虑网络威胁可以绕过 MFA 这一事实也很重要,这就是为什么他们必须拥有强大的 MFA 方法。

在这里插入图片描述

单点登录(SSO)

单点登录(SSO)使用户能够使用其凭据登录一次,并有权访问其所有应用程序。SSO 通过在应用程序和身份提供者之间交换身份验证令牌来工作,每当用户登录时,都会创建并记住此令牌,以建立用户已通过验证的事实,用户将尝试访问的任何应用程序或门户都将首先与身份提供者进行验证,以确认用户的身份。

SSO 允许用户为自己的帐户创建并记住一个强密码,而不是多个密码。这种方法还有助于避免密码疲劳和减少攻击面,它进一步确保用户不会使用重复的密码来访问多个门户和应用程序。从安全的角度来看,SSO 提供了从中心位置对所有用户活动的集中可见性,它允许组织为整个组织实现更强的密码策略。

最小特权原则

最小特权原则(POLP)是零信任的核心原则之一,它只允许用户访问其工作所需的数据、应用程序和服务。由于用户是任何组织中最薄弱的环节,因此此策略确保仅在需要知道的基础上授予他们对资源的访问权,实施POLP的方法包括:

  • 基于角色的访问控制:根据每个用户在组织中的角色,允许或拒绝其访问数据或网络资源。例如,财务团队的员工只能访问与财务相关的数据,而不能访问其范围之外的信息。
  • 实时特权访问管理:在预定的时间段内授予对资源和应用程序的访问权限。一旦定义的时间过期,授予用户的访问将被自动撤销。例如,一周中只需要访问门户几天的用户将只在这些特定的日子获得访问权限。
  • 恰到好处的资源访问权限:用户只能访问他们执行任务所需的资源或服务。例如,用户需要访问报表,但只能使用其中的一部分,在这种情况下,用户只能访问其工作所需的报告部分。
  • 基于风险的访问控制:根据与用户相关的风险评分授予用户访问权限,风险评分较高的用户需要应对额外的身份验证挑战,而风险得分较低的用户则需要遵循一般的用户名/密码方法。

持续监控和审核用户活动

对所有用户活动进行持续监控和审核非常重要的,主动寻找任何潜在威胁的方法有助于防止恶意攻击。日志数据由 SIEM 解决方案引入,应对其进行进一步分析,并应配置实时警报,以防检测到任何异常活动。

监控设备

严格控制的监控设备也是零信任网络不可或缺的一部分,监控可以访问网络的设备数量并检查它们是否被授权访问网络资源是很重要的。组织还应该跟踪托管和非托管设备,并确保这些设备定期打补丁和更新。对于网络中的BYOD设备和访客设备,应采取严格的访问控制和威胁检测措施,以降低攻击面扩大的风险。

实施和采用零信任模型的最佳做法

那么,如何创建零信任架构呢?以下是构建零信任环境采用的一些常见但典型的做法。

  • 识别所有关键和敏感数据、网络组件和资源,并根据优先级对它们进行分组。
  • 验证所有设备(包括终端设备),以确保对组织资源的安全访问。
  • 强制实施最低权限策略,并尽量减少和限制对数据、应用程序、服务和资源的访问。
  • 识别并禁用前员工的用户帐户,因为恶意内部人员可能会利用这些孤立和过时的帐户来访问组织的敏感数据和资源。
  • 主动监控和审核所有用户活动,以跟踪他们在网络中的行踪,配置实时警报,以通知 IT 团队检测到的任何异常活动。
  • 调查和验证来自组织网络内部和外部的流量。

采用并实施零信任安全方法,以确保对网络及其组件的受限和安全访问,这样做可以最大程度地减少组织遭受网络威胁的风险。

SIEM 解决方案(如Log360)可通过其 UEBA 和 CASB 功能帮助组织维护零信任环境。

ManageEngine卓豪
关注
  • 7
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
什么是日志收集
07-30 598
EventLog Analyzer 日志管理解决方案,帮助组织有效地收集、分析和管理来自各种来源的日志数据,这种实时日志关联并不仅仅止于检测,它会立即触发警报,这些警报充当主动防护,确保对安全漏洞或操作问题做出快速响应,让管理员可以全面了解网络安全状况。
博客
什么是端点安全
07-30 970
端点安全是网络安全策略的重要组成部分,侧重于保护网络中的各个设备(端点)免受各种网络威胁和未经授权的访问。通过实施全面的端点安全解决方案,可以降低与恶意软件感染、数据泄露、网络钓鱼攻击和内部威胁等相关风险。
博客
什么是日志分析
07-24 876
日志分析(或日志文件分析)是检查整个网络生成的日志数据的过程,日志数据从各种来源生成,包括外围设备、工作站、服务器、应用程序以及其他硬件和软件组件,集中收集并分析这些信息,可以更好地理解网络运行、排除故障、维护网络安全。
博客
AWS监控工具,监控性能指标
07-22 1021
AWS web服务监控要求管理员授权该工具访问其AWS,通过该工具可以创建监视器,然后,管理员可以收集复杂的指标,可视化资源使用情况,并对云环境中所有支持的服务的潜在异常发出警报。一些AWS监控服务(如Applications Manager)在提供对Amazon云基础设施中的每个微服务的操作可见性方面发挥了巨大的作用。
博客
企业日志管理,增强安全性
07-19 584
日志管理是一个系统的过程,包括收集、日志解析、分析和存储在组织的数字生态系统中生成的大量日志数据,日志是各种事件的综合记录,如用户操作、错误消息、系统事件、安全事件等,当涉及到根本原因日志分析或增强组织的安全状况时,这些信息至关重要。
博客
什么是裸机管理程序?
07-19 1041
虚拟机监控程序和 VM 的性能完全取决于底层硬件的性能,这意味着运行 VM 的硬件对业务非常关键,为了持续关注虚拟机主机并有效地管理其虚拟机,网络管理员需要一种网络监控解决方案,以提高对其虚拟机基础架构的可见性,而不管虚拟机管理程序属于哪个供应商。
博客
使用云监控工具,了解云性能
07-17 725
Applications Manager云监控工具,收集指标,并在基于云的系统运行中出现问题时主动发现问题,云使用情况监视器可帮助管理员分析聚合数据,有助于确保云服务器的运行状况和可用性,在性能问题影响最终用户之前发现并修复性能问题,并优化应用程序的性能。
博客
Syslog 管理工具
07-11 709
系统日志协议(Syslog)用于标准化网络设备与日志服务器通信时使用的消息格式,它提供了一种机制,用于集中收集、解析、分析和存储生成的日志,以便进行实时分析。许多网络设备,如路由器、交换机、防火墙、Unix/Linux 和 MacOS 服务器等都支持它,便于管理这些设备生成的日志。
博客
AWS 云安全性:检测 SSH 暴力攻击
07-09 1063
Log360 是一个全面的SIEM解决方案,支持云平台,如亚马逊网络服务,谷歌云平台,Salesforce 和 Microsoft Azure以及本地安全监控,使管理员能够保护云基础设施,并通过高级威胁检测、实时关联、警报生成、UEBA驱动的异常检测和主动事件响应机制,帮助加强云安全态势。
博客
使用 MFA 保护对企业应用程序的访问
07-08 726
拥有不安全的用户标识可能会使企业的资源面临风险,MFA 可以阻止未经授权的访问并保护组织的敏感数据免受攻击。Identity360 使用现代 MFA 技术保护组织标识并保护最终用户对企业应用程序和端点的访问。
博客
Hyper-V 性能监控工具
07-08 794
OpManager拥有多个Hyper-V性能监视器,可以主动检查关键的Hyper-V性能指标,并防止意外中断,使网络管理员能够设置多级阈值,并自动配置响应时间、内存和CPU利用率监视器的阈值,以确保对任何问题发出提示警报。还提供了一个专用的仪表板,实时列出 Hyper-V 设备的资源消耗,以管理 VM 蔓延并防止性能问题。
博客
什么是 SSH(安全外壳协议)以及如何工作
06-20 1056
PAM360 特权访问管理解决方案为组织提供了一个中央控制台来管理其所有特权会话,包括但不限于 SSH 密钥和会话。从监控、隐藏和管理 SSH 会话,到管理、部署和轮换 SSH 密钥,还可提供特权访问、管理和轮换密码、提升访问权限、管理 RDP 会话、执行安全文件传输、管理 SSL/TLS 证书等等。
博客
使用事件日志识别常见 Windows 错误
06-19 1000
事件查看器,一个标准的诊断工具,嵌入在Windows操作系统,记录了所有的系统事件,该日志捕获有关硬件问题、软件中断和整体系统行为的详细信息。通过分析这些日志,管理员可以查明系统错误和运行时错误的根本原因。了解如何解释这些日志中的常见错误消息和症状对于有效地诊断和解决系统问题至关重要。
博客
SQL Server 触发器
06-18 1258
SQL触发器是一种特殊类型的存储过程,它在指定的表中的数据发生变化时自动生效。触发器可以响应INSERT、UPDATE或DELETE语句,并在这些操作前后执行预定义的操作,如查询其他表、执行复杂的Transact-SQL语句等。触发器的执行不是由程序直接调用,而是由数据库事件触发。它们常用于加强数据完整性约束和业务规则的实现。
博客
移动操作系统更新管理
06-17 705
移动设备管理(MDM)是寻求简化管理和增强其移动设备队列安全性的组织的关键工具,通过集中控制,Mobile Device Manager Plus 使管理员能够强制执行安全协议、规范访问和远程管理配置,这不仅提高了运营效率,还加强了对潜在威胁的防御,确保了强大且合规的移动基础设施。
博客
管理敏感数据
06-13 1014
Log360 提供集成的 DLP 和 CASB 功能,可帮助管理员发现、分析和保护存储在网络中的敏感信息,还监控对敏感信息的访问,并在提出未经授权的访问请求时提供实时警报。
博客
防火墙安全管理
06-12 1146
防火墙是核心网络安全和网络外围设备,用于检查进入或离开网络的流量,它根据一组规则运行,根据这些规则允许或拒绝进入网络的流量访问网络,有效地充当网络流量的过滤器。防火墙可以配置为阻止特定的 IP地址和端口,以及其他标准。
博客
什么是SIEM
06-07 835
Log360 统一SIEM 解决方案,具有集成的 DLP 和 CASB 功能,可检测、优先处理、调查和响应安全威胁。它结合了威胁情报、基于 ML 的异常检测和基于规则的攻击检测来识别复杂的攻击,并提供事件管理控制台来有效修复检测到的威胁。
博客
如何解决网络问题?
06-06 1117
OpManager 网络故障排除工具,可以帮助管理员诊断交换机、路由器、服务器和存储设备中的网络问题,以确保可用性、运行状况和性能。还监控响应时间、服务、进程和其他硬件指标,以及数据包丢失监控,可帮助管理员在最终用户受到影响之前识别和解决网络问题。
博客
远程网络监控
06-03 750
OpManager 远程网络监控软件,旨在监控动态和远程网络。提供了一个集中式管理控制台,用于监控交换机、路由器、服务器、虚拟基础设施、接口、防火墙、存储设备和其他网络设备。它是一种高度可扩展的企业网络监控工具,可帮助管理员分析网络流量、管理网络配置、交换机端口和 IP 地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值