Zero Trust 藍圖
推進 Zero Trust 採用的 5 個簡單專案
Zero Trust 採用很複雜,但入門未必如此
採用 Zero Trust 安全性被廣泛認為是一個艱難的過程。從很多方面來說,這一名聲實至名歸。Zero Trust 要求安全性和 IT 謹慎對待以下工作:重新考慮預設允許原則和基於周邊的網路架構、不同智能團隊之間的協作以及對新安全服務的信任。組織可能會因為各種原因推遲此轉型,包括:
��競爭專案的能力限制
Zero Trust 廠商產品的變化
不確定各種應用程式和資源在網路上的位置
對員工生產力的損害
Zero Trust 架構總體上相當複雜,Zero Trust 架構的完整路線圖包含 28 個全方位專案。但是,其中一些專案只需要相對較少的工作,即使對於時間有限的小型團隊也是如此。
零散的 Zero Trust 採用
在網路環境中,Zero Trust 安全要求對進出公司網路或在公司網路內移動的每個請求進行檢查、驗證、加密和記錄。它基於這樣的想法,即任何請求都不應被隱式信任,無論它來自何處或去往何處。
在 Zero Trust 方面取得早期進展意味著在目前不存在的地方建立這些能力。對於從頭開始的組織,這通常意味著將功能擴展到單一「網路週邊」之外。
以下是五個最簡單的 Zero Trust 採用專案,著重於保護使用者、應用程式、網路和網際網路流量。它們每一個都無法獨立實現全面的 Zero Trust,但確實提供即時的好處,且能夠為更廣泛的轉型創造早期動力。
專案 1
對關鍵應用程式實施多重要素驗證
在 Zero Trust 方法中,網路必須非常確信請求來自受信任的實體。組織需要建立保護措施,防止透過網路釣魚或資料洩露竊取使用者認證。多重要素驗證 (MFA) 是防止此類認證盜竊的最佳保護措施。雖然完整的 MFA 推出可能需要很長時間,但專注於最關鍵的應用程式是一個更簡單但仍然有影響力的做法。
已經擁有識別提供者的組織可以直接在該提供者內設定 MFA——例如,透過傳送到員工行動裝置的一次性代碼或推播通知應用程式。對於未直接與您的身分識別提供者 (IdP) 整合的應用程式,請考慮在應用程式前方使用應用程式反向代理來執行 MFA。
沒有身分識別提供者的組織可以採用不同的 MFA 方法。使用 Google、LinkedIn 和 Facebook 等社交平台或單次密碼 (OTP),可以協助雙重檢查使用者身分。這是在不將第三方承包商新增到企業身分識別提供者的情況下引導他們實現存取的常用方法,也可以在公司內部應用。
專案 2
針對重要應用程式的 Zero Trust 原則實施
實施 Zero Trust 不僅僅意味著驗證使用者身分。還必須使用始終驗證請求、在驗證前考慮各種行為和環境因素且持續監控活動的原則來保護應用程式。就像在專案 1 中一樣,當套用至關鍵應用程式的初始清單時,實作這些原則變得更加簡單。
此過程根據擁有的應用程式類型而有所不同:
私人自託管應用程式 (僅可在企業網路上定址)
公用自託管應用程式 (可透過網際網路定址)
SaaS 應用程式
專案 3
監控電子郵件應用程式並篩除網路釣魚行為
電子郵件是大多數組織的首要通訊方式、最常用的 SaaS 應用程式,也是最常見的攻擊者入口點。組織應將 Zero Trust 原則套用至電子郵件以補充其標準威脅篩选和檢查。
此外,應考慮使用隔離的瀏覽器來隔離那些不夠可疑而無需完全封鎖的連結,以保障安全性。
專案 4
關閉所有對網際網路開啟的内送連接埠以進行應用程式交付
開放的輸入網路連接埠是一種常見的攻擊媒介,應該給予 Zero Trust 保護,僅接受來自已知、受信任且經過驗證的來源的流量。
可以使用掃描技術找到這些連接埠。然後,Zero Trust 反向代理可以安全地將 Web 應用程式暴露給公用網際網路,而無需開啟任何輸入連接埠。該應用程式唯一公開可見的記�錄是它的 DNS 記錄,這可以透過 Zero Trust 驗證和記錄功能得到保護。
可以使用 Zero Trust 網路存取解決方案來利用內部/私人 DNS,以作為一層額外的安全防護。
專案 5
封鎖對已知威脅或有風險目的地的 DNS 請求
DNS 篩選是防止使用者存取已知或高度懷疑有惡意的網站和其他網際網路資源的做法。它並不總是包含在 Zero Trust 對話中,因為它不涉及流量檢查或記錄。但是,它最終可以控制使用者(或使用者群組)能夠傳輸和上傳資料的位置——這與更廣泛的 Zero Trust 理念非常吻合。
可以經由路由器設定或直接在使用者電腦上套用 DNS 篩選。
瞭解更廣泛的 Zero Trust 局面
實作這五個專案可以相對直接地涉足 Zero Trust。任何完成這些專案的組織都將在實現更好、更現代的安全性方面取得重大進展。
更廣泛的 Zero Trust 採用仍然很複雜。為了提供幫助,我們為整個 Zero Trust 之旅構建了一個廠商中立的路線圖,涵蓋這五個專案和其他類似專案。有些將花費不止幾天的時間,但路線圖可以更清楚地說明採用 Zero Trust 意味著什麼。
所有這些服務都內建在 Cloudflare 全球連通雲中:這是一個統一的雲端原生服務平台,旨在幫助組織重新掌控其 IT 環境。Cloudflare 是業界領先的全球連通雲公司。它為各种組織提供支援,不僅幫助世界各處的員工、應用程式和網路提升速度和安全性,還降低了複雜性和成本。Cloudflare 由世界上規模最大且互連性最高的網路之一提供支援,每天可為客戶封鎖數十億個線上威脅。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
Zero Trust 藍圖中的 28 個專案
需要相對較少努力的 5 個 Zero Trust 採用專案
啟用實作的服務類型
如何為您的組織啟動採用路線圖
相關資源
深入探討這個主題。
閱讀完整指南Zero Trust 架構路線圖,深入瞭解 Zero Trust 並開始為您的組織規劃路線圖。