هسته امنیت صفر اعتماد

مشکل با تکنیک های امنیتی سنتی

ابزارهای امنیتی سنتی ، مانند دیوارهای آتش ، VPN ها و کنترل دسترسی شبکه ( NAC) محدودیت های خود را دارند زیرا آنها در درجه اول بر امنیت محیط شبکه تمرکز می کنند. تیم های امنیتی از نظر تاریخی بزرگترین تهدیدها حمله از خارج از شبکه بودند. اما این رویکرد تهدیدات داخلی را نادیده گرفت – و خسارتی که ممکن است هکرها در نهایت وارد شبکه شوند.

پیچیده شدن تصویر امنیتی شبکه ، افزایش فعالیت در لبه شبکه است ، که همچنین نیاز به رویکردهای جدید در زمینه امنیت است. ، به طور کلی تحت اصطلاح edge edge با هم جمع می شوند. همه این تحولات در شبکه نیاز به رویکردهای جدیدی در زمینه امنیت دارد و مفهوم بنیادی آن اعتماد صفر است.

تأیید اعتبار کاربران و دستگاه های دارای امنیت اعتماد صفر

چارچوب اعتماد صفر به فلسفه "اعتماد به هیچ چیز و تأیید همه چیز" متکی است " این بدان معناست که سازمانها باید قبل از اجازه دسترسی به هرگونه برنامه یا داده ذخیره شده ، به تک کاربر و دستگاهی که از طریق داخلی یا خارجی به شبکه متصل هستند احراز هویت و مجوز دهند. این روش دسترسی به حداقل امتیاز تشخیص می دهد که اعتماد آسیب پذیر است.

اگر یک بازیگر مخرب به شبکه دسترسی پیدا کند ، ابزارهای امنیتی متمرکز بر محیط نمی توانند مانع از حرکت جانبی آنها از طریق شبکه شوند و به آنها امکان دسترسی به برنامه ها و داده ها را می دهند. . اعتماد صفر دسترسی به همه برنامه ها و محیط های شبکه را تضمین می کند.

بنابراین چگونه تیم های امنیتی می توانند تعداد زیادی از کاربران و دستگاه هایی را که در سراسر شبکه سفر می کنند ، احراز هویت کنند؟ یکی از کلیدها ایجاد بخشهای تعریف شده توسط نرم افزار و تعریف سیاستهای امنیتی برای آنها در سطح دانه ای با استفاده از ریز تقسیم بندی است.

جداسازی شبکه ها و بارهای کاری با تقسیم بندی خرد

از نظر تاریخی ، سازمان ها از تقسیم بندی شبکه برای امنیت استفاده می کردند که این یک روش برای ایجاد زیر -در یک محیط مبتنی بر سخت افزار شبکه می شود. این بخشهای شبکه با استفاده از ابزارهای سنتی و متمرکز بر پارامترها ، مانند VPN یا فایروال ها ، برای تأمین امنیت شمال به جنوب ساخته شده اند.

تقسیم بندی خرد ، از ترافیک شرق به غرب ، یا جانبی محافظت می کند. این شامل اتصالات سرور به سرور ، برنامه به سرور و وب به سرور در داخل شبکه است. با ایجاد بخشهای امنیتی برای بارهای فردی با کنترلهای سیاست دانه بندی ، خردبخشی کنترل کاملی بر میزان ترافیک درون و بین بخشهای تعریف شده توسط نرم افزار فراهم می کند. به عنوان دیوارها و خندق های اطراف قلعه شبکه شما. ریز تقسیم بندی به عنوان محافظانی محافظت می کند که از هر در و مسیر داخل دیوارهای قلعه محافظت می کند.

مشکلات تقسیم شبکه

تئوری تقسیم بندی شبکه کاملاً با اعتماد صفر در تضاد است ، زیرا فقط مربوط به اجازه دسترسی اولیه به شبکه. این بدان معناست که به محض دسترسی اتصال ، می توان به راحتی در سراسر شبکه رفت و آمد کرد. نشان داده شده است که این اعتماد منجر به نقض امنیت می شود که می تواند بخشهای جانبی را آلوده کند. برای دستیابی به برخی از محافظت های جانبی از ترافیک ، بخشهای تعریف شده توسط نرم افزار در شبکههای ترکیبی و ابری مدرن به هزاران سیاست درشت برای هر بخش نیاز دارند. این امر به مراتب بیش از آن است که بتوان مدیریت جدیدی کرد زیرا منابع جدید و کاربران به طور مداوم به شبکه اضافه می شوند.

عدم وجود سیاست های جامع و دقیق برای محافظت از ترافیک جانبی ، مسئله ویژه ای در مورد تهدیدهای مداوم پیشرفته است (APT ها) . در این موارد ، مهاجمان از اعتبار سرقتی برای دسترسی به شبکه استفاده می کنند. بدون وجود یک چارچوب اعتماد صفر ، مهاجمان می توانند برای مدت زمان طولانی در یک شبکه شناسایی نشده پیمایش کنند ، از سیستم سازمان نقشه برداری کرده و بدافزار بسیار سفارشی را برای برداشت داده های حساس ایجاد کنند. اعتماد صفر و تقسیم خرد کلیدی برای جلوگیری از سفر آشکار APT ها در سراسر شبکه است.

کاهش سطح حمله با اعتماد صفر و تقسیم خرد با محدود کردن حرکت از یک بار کاری که به طور بالقوه به خطر بیفتد ، از یک شبکه استفاده کند. پس از تقسیم بندی ، می توان سیاست های امنیتی ریز ریز را برای بارهای کاری اعمال کرد ، تا جایی که به ماشین های تک یا برنامه های کاربردی محدود می شود. این سیاست ها را می توان با توجه به ساختارهای دنیای واقعی ، مانند گروه های کاربر ، گروه های دسترسی و گروه های شبکه تعریف کرد و می توان آن را در چندین برنامه یا دستگاه اعمال کرد.

نحوه اختصاص سیاست ها

در سطح دستگاه ، سیاست ها می توانند برای اختصاص محدودیت های خاص به دستگاهها بر اساس عملکرد آنها مورد استفاده قرار می گیرد ، بنابراین فقط دستگاههایی که نیاز به دسترسی به برنامه ها و منابع حیاتی دارند مجاز هستند. این دستگاه ها همچنین می توانند از یکدیگر جدا شوند بنابراین نمی توانند ارتباط برقرار کنند مگر اینکه مجاز به این کار باشند.

سیاست ها همچنین می توانند براساس هویت منبع باشند ، ریز تقسیم بندی مزیت دیگری نسبت به روش های قبلی تقسیم بندی دارد. تقسیم بندی شبکه فقط می تواند به شما بگوید که چه اطلاعاتی بین بخش ها برقرار می شود ، در حالی که ریز تقسیم بندی می تواند هویت منبع درخواست کننده برای برقراری ارتباط را مشخص کند ، خواه یک سرور ، برنامه ، میزبان یا کاربر باشد. این امر تقسیم بندی دانه ای بسیار بیشتری را فراهم می کند ، فقط امکان برقراری ارتباط بین منابعی را فراهم می کند که به هویت آنها مجوزهای مناسب داده شده است.

با وجود این راه حل جامع ، دسترسی به هر ارتباطی که با پارامترهای سیاست تأیید نشود مسدود است. ریز تقسیم بندی نه تنها از حرکت جانبی محافظت می کند ، بلکه برای همه ترافیک شبکه نیز دارای دید بالا و زمینه است. این به تیم ها این امکان را می دهد تا رفتارهای مخرب و تخلفات را به سرعت شناسایی کنند ، و پاسخ حوادث را بهبود بخشند.

انتخاب اعتماد صفر و ابزار تقسیم خرد

اگرچه چارچوب اعتماد صفر مفهوم کاملا جدیدی نیست ، اما اخیراً به عنوان یک شرکت مورد توجه قرار گرفته است. ابزار امنیتی بنابراین ، همه پیشنهادات محصول با اعتماد صفر بر ریز تقسیم بندی متمرکز نیستند. هنگام خرید برای یافتن راه حل ، اطمینان حاصل کنید که این روش بر اساس ریز تقسیم بندی استوار است بنابراین از چارچوب اعتماد صفر خود بیشترین بهره را می گیرید. در اینجا چند فروشنده محبوب ریز تقسیم بندی برای شروع جستجوی شما وجود دارد:

• Amazon Web Services (AWS)
• Microsoft
• VMware [19659014] Cisco
• Fortinet

اگر نگران اجرای اعتماد صفر در شبکه خود هستید ، خوشبختانه ، این نیازی به بازآفرینی کامل زیرساخت ها ندارد. بدون نیاز به جایگزینی سرمایه گذاری های امنیتی موجود ، موثرترین راه حل ها باید بر روی محیط شما قرار بگیرند. اگر می خواهید درک بهتری از گزینه های موجود برای شما بدست آورید ، لیست بهترین راه حل های امنیتی اعتماد صفر را بررسی کنید.