零信任网络能提供更好的数据泄露防护,但通往零信任网络的道路却困难曲折。零信任模型的核心思想,是网络边界内外的任何东西,在没经过验证之前都不予信任。用传统安全方法挡不住数据泄露的公司企业目前越来越关注零信任网络模型了。
但是,想要实现该模型的公司企业,首先就需要抛弃长期以来深植于内部人可信和公司网络可信思维基础上的那些操作。
零信任模型
2010年,佛瑞斯特研究所构造了“零信任”这个术语,用以描述尝试连接网络资产的任何用户和任何设备都被当成不可信对象处理的一种安全模型。该模型突出设备凭证和用户凭证的使用,而不以网络位置来作为允许或拒绝网络资产访问的基础。
佛瑞斯特和其他业内人士宣称,零信任方法可防止攻击者在突破网络边界后藏身网络内部继续摸查高价值目标。因为传统安全控制和数据泄露预防工具无法发现,使用被盗凭证的外部攻击者所做的恶意活动。因为,他可以自由来去。最近几年数据泄露事件大量爆发,问题的根源,在于公司企业长期以来所持有的隐式信任用户和内网流量的做法。只将外部用户当做不可信对象加以验证,怎么能防住日益严重的内部人威胁呢?
黑客攻击者还不是唯一的问题。移动办公和云服务托管的增长,也令很多公司企业难以确立起网络边界。传统筑起边界长城守护内部资源的安全方法,随着企业数据的分散化和数据访问方式的多样化而不再有效。
信任是个危险的漏洞,容易被攻击者利用。用户和网络分为可信及不可信的观念,是公司企业首先需要抛弃的。
零信任概念中,任何人、任何设备、任何网络都不可信。必须要摒弃“人以网分”的想法,将注意力集中在网络中四处流通的数据包上。要监视所有流量,而不仅仅是外部流量。
漫漫零信任路
实现零信任网络可能会很困难。作为零信任网络的先行者,谷歌花了6年时间才从其科学和特权网络访问模式迁移到BeyondCorp零信任环境。期间谷歌不得不重新定义和调整其职位角色及分类,建立起全新的主控库存服务以跟踪设备,提升App可见性,并翻新用户身份验证及访问控制策略。从董事会层面自顶向下地支持并推进零信任网络建设。
迈向零信任之路时应遵循的一条关键原则是,在被验证可信之前,任何人任何设备都不能访问内部资源。网络本身不可以确定用户可以访问哪些服务。
赋予用户的信任,不能基于用户尝试访问公司应用的位置——公司网络边界内部或外部,而应基于用户信息、设备信息和所访问的资源。
重点应放在安全验证用户、知晓用户角色及访问权限,以及能够识别出异常用户/设备行为上。这也意味着要能够安全验证设备,识别设备使用上下文,并确保对设备应用了全部该有的安全控制措施。在这样的环境中,多因子身份验证(MFA)和用户及实体行为分析(UEBA)之类的功能,是确立用户信任的关键。零信任的目标,就是转换到“从不信任,总是验证”的模式。
从内而外设计安全
规划零信任时,切记不能像当前大多数企业所做的那样由外而内地设计安全,而应由内而外地规划。应少考虑攻击界面,而更多地关注“防护界面”——公司实际需要保护的数字资产。
应以将安全及访问控制措施尽可能地贴近防护界面为目标,而不应将这些防护措施远远安置在网络边界。人们常将网络分隔与零信任搞混,但如果我们不知道防护界面,那还做网络分隔干什么呢?
为实现零信任环境,内容分发网络公司阿卡迈已清除了其企业边界。这是因为用户位置已不再能够赋予用户信任度了。
今年晚些时候,阿卡迈还将下架远程员工的所有科学访问,彻底弃用口令也就在不远的将来。想要访问该公司应用和系统的任何人——包括该公司员工,都会被当成来宾先进行验证。只有通过了用户验证、访问权限验证和设备验证,才会被赋予信任。
安全边界仍然围绕个人设备展开,但企业边界背后的特权网络概念就已落伍。零信任模型比以边界为中心的方法更能提供统一又安全的企业资产访问。
在零信任之路上,没什么东西比可见性更重要的了。可见性是关键第一步,是创建整个策略的基石。阿卡迈启动零信任迁移时所做的第一步工作,就是为其所有应用和设备建立其全面的库存清单。
想要保护敏感数据,首先得知道这些数据都在哪儿,知道数据在企业网络中的流动方式,知晓都有哪些用户在用哪些设备访问这些数据。正如谷歌指出的,当你无法信任网络来提供对企业资产的安全访问时,你就得有可靠的实时数据来告诉你有哪些人和系统正在访问公司资产。
实现零信任的另一关键,是要有强大的方法来安全识别并验证用户及设备。举个例子,谷歌的网络上就仅容许经该公司采购并管理的设备。所有设备都具有基于设备证书的唯一ID,且需满足严格的安全控制才可以访问网络。该公司使用与HR过程耦合的数据库来识别用户并确保职位和访问权限信息实时更新。
谷歌在BeyondCorp相关白皮书中曾写道:“对公司资源的所有访问都经过全面验证和授权,并基于设备状态和用户凭证予以全面加密。”
戳这里,看该作者更多好文
SD-WAN网络意味着什么?
SD-WAN网络出现意味着什么?
随着5G网络的出现,物联网(IoT)应用快速增长,工业自动化、智慧园区、智能安防、大数据、车联网等宽带物联网相关应用纷纷落地。 相对窄带物联网应用,宽带物联网对网络的QoS提出了更高的要求。 IoTN作为物联网连接方案,通过共享边缘POP节点,优化通信协议,云端QoS控制,在现有的基础网络上,优化满足蓬勃发现的宽带物联网发展需求。
随着企业纷纷拥抱数字化转型,以及边缘计算、云服务和混合网络的兴起,传统云安全通过企业数据中心对数据流进行检查的方式在实时、移动和边缘等场景下逐渐失灵,SASE将SD-WAN与零信任访问等一系列安全能力集成,访问决策基于用户身份并在边缘强制执行,而策略则在云中集中定义和管理,可实现安全架构的核心从数据中心向身份的根本性转变。 技术变革往往为新巨头的诞生创造重大机遇,意识到SASE重要价值的厂商和资本已经行动起来。
SD-WAN意为软件定义的广域网,它允许企业智能切换使用包括光纤、5G和宽带等多种网络服务及组合,以创建一个更灵活、顺畅、易管理的互联网连接,让公司可以低成本跨越数千个终端扩展基于云的应用。
当前,SD-WAN的边界正向更深更广的方向延伸,不仅限于广域网边缘,还包括网络边缘,从而能实现网络边缘与广泛分布的本地端点和基于云的端点之间的连接。
电脑局域网如何建立?
这是一个有线、无线混合方案,具体结构可以参看图1。 这个例子中,用4台计算机组成了一个混合网络,PC1是主机,它与外部连接有3个通路:1. 与Internet接连的调制解调器:用于整个网络的各个计算机共享上网之用。 2. 无线适配器:用于和本网络内的无线设备之间的通讯。 3. HUB:用于带动本网络内的下游计算机。 该方案中的PC1、PC2机,必须用Windows XP操作系统,有线部分采用的是以太网结构连接。 图中的HPNA是home phoneline Network adaptor的缩写,表示家庭电话线网络适配器。 图中的PC3和移动计算机,并不要求非使用Windows XP操作系统不可,别的windows版本也行。 移动计算机和主机之间的网络连接利用的是无线形式。 如果希望建立混合网络,这种方案已经具备典型的功能,并且不需要花费很大就可以扩充网络规模。 关于连通操作:图1显示的结构只能表示物理连接关系,物理连接完成后,还需要进行连通操作,网络才可真正投入使用。 连通操作包括局域网内部各个计算机之间的连通,和局域网与Internet之间的连通。 前者连通建立的步骤如下:1. 鼠标点击 开始,进入控制面板,点击Network and Internet Connections网络和Internet连接,选择网络连接( Network Connections),进行下一步。 2. 选择进行两个或多个LAN的连接3. 右键点击一个连接.4. 确定完成连接任务.局域网之内的连通操作就完成了。 再说局域网与Internet之间的连通,这种情况主要考虑速度与成本两方面的兼顾。 多机上网,最省事的办法是每个机器占据一条独立的电话线,但这不是一般用户能承受起的,资源的浪费也太大。 另一个办法,可以使用住宅网关,但这样成本需要增加,不是最佳途径。 比较好的方法是使用一个计算机作为主机服务器。 这不仅技术上可行,还有很多别的优点,如:①:由于Windows XP有内建的防火墙,主机介于Internet和终端机之间,可以利用主机的防火墙保护局域网中的分机免受来自Internet的攻击。 ②:主机是隐匿在 Internet和局域网之间的,充当了网关的脚色,在分机上,用户感觉好像自己是直接连在Interne上一样,察觉不到中间还有主机存在。 特别是可以使局域网中的每台计算机同时上网。 大大减少了设备投资。 ③:除主机必须使用Windows XP操作系统之外,局域网内的计算机可使用早期的windows版本。 ④:如果局域网中需要使用不同的媒体(例如有线和无线混合),可以利用Windows XP作为过渡的网桥。 ⑤:虽然有网络资源和设备的共享功能,但也可以限制别人对私有文件和数据的访问,特别是将文件存放在主机上的时候,更具有这种优势可用。 ⑥:利用万能即插即用功能,可以随时扩充局域网的规模
怎么建立一个局域网连接
使用HUB需要一台机器做主机方案1所有机的网线都插在HUB上顺序随便,在主机上安装代理软件如CCPROXY 主机正常上网 其他机器使用代理上网缺点:主机必须工作其他机器才能上网IP分配可能存在问题 需要视网环境来看用猫应该能正常分配,可以使用命令IPCONFIG -all 来查看IP情况方案2选定一台主机在主机上安装两个网卡,网卡1连接猫上外网,网卡2连接HUB,其他机器也连接HUB顺序随便.右键网卡1的连接->属性找到共享INTERNET,按照提示操作无经验者可以先准备一张软盘在提示使用软盘时使用,然后把该软盘拿到其他机器上去运行就可以,如果没有软驱不可以不使用软盘在提示的时候选否,然后到其他机器的本地连接 TCP/IP属性里面手动设置IP为:192.168.0.X其中X为1-255的数DNS为192.168.0.1其他默认 注意也可能是192.168.1.X自己变通处理缺点:也需要主机开机才能上网须要按照双网卡其他方案买个宽带共享路由5口的一般在100元左右,路由后面有一个标有WAN的独立的接口用来和猫连接其他的接口用来连接使用需要上网的机器(没有主次之分随便插)如果不够插还可以通过HUB在扩展几台,连接好后随便找一台已经连接上的计算机 打开IE输入用户密码均为admin 如果不能进入 请详细阅读说明书进入后找到WAN项,选择PPOE 在用户和密码处输入ADSL的用户和密码 点保存或者确定 视不同路由而定 有的还需要重启一路由 这样所有连接的机器都可以上网了,而且没有主机 很方便 只要不关路由 内网的任何机器都可以随时上网 还有机器想加入的话 插上就可以 方便扩充和调整.建议采用这个方法.
发表评论