在过去的几年中,零信任已成为一个流行语,随着技术的变化,新的安全模型标准的新金标准。那么,“零信任”到底是什么意思,您的组织应该开始考虑采用该模型?在此博客中,我们将在高级讨论零信任安全模型,以便您可以确定这次旅程是否值得持久。然后,在随后的博客中,我们将更详细地介绍零信任的每个核心组成部分,以便您可以学习如何开始在组织内实施这些核心组件!
什么是零信任?
在数据居住在云中之前,组织将其安全模型围绕着隐式信任构建,假设公司防火墙背后的任何东西都是安全的。零信任模型将这个旧模型翻转在其头上。新的零信任模型假设违反,而将明确验证每个请求,就好像它来自不受控制的/不信任的网络一样。这个较新的模型遵循“永远不要相信,始终验证心态,这意味着无论请求的来自何处或访问哪些资源,我们必须验证在授予网络访问之前。话虽如此,我们可以将零信任分为3个核心原则:
- 明确验证
- 使用最不特权的访问
- 假设违反
明确验证
第一个核心原则将安全信任模型转换为一个将根据数据点明确验证请求的模型,包括凭据/身份,位置,设备健康,风险级别,服务或工作负载,数据分类和其他异常。如果我们实际上查看了多少攻击者妥协环境,则可以归因于三个主要向量:
- 妥协的用户帐户
- 使用密码喷雾,网络钓鱼或恶意软件等技术
- 本地身份系统也更加脆弱,因为它们缺乏“云动力”保护,例如密码保护,密码喷雾检测和AI的AI,以预防帐户损害
- 使用密码喷雾,网络钓鱼或恶意软件等技术
- 损坏的供应商帐户
- 供应商帐户缺少多因素身份验证(MFA),IP范围限制,设备合规性和访问评论等内容是攻击者的大型目标。
- 损坏的供应商软件
- 用户帐户与缺乏MFA或其他政策限制的供应商软件一起使用的情况,也可以在安全姿势中打开攻击者的漏洞,以供攻击者利用。通过以与我们管理常规最终用户帐户相同的方式处理供应商帐户,其中许多攻击可以停止在他们的轨道上。
在上面的所有三个情况下,这些都可以看作是显式验证的主要差距。通过确保将此验证扩展到全部访问请求,甚至来自供应商,尤其是来自本地环境的请求,您更接近更安全的环境。
使用最小特权访问
对于第二个核心原则,我们可以使用最小特权访问权限来确保我们授予该用户满足特定目标所需的权限,而无需超出实际需要的目标。这可以通过限制用户访问权限和即时访问(JIT/JEA),基于风险的自适应策略和数据保护来实现。通过授予最低特权访问权限,这可以大大减少攻击者的机会,如果发生违规,则在整个环境中横向移动。最少特权访问权限的总体目标是通过限制攻击者可以访问多少资源(用户,设备或网络)来区分攻击。
假设违反
您是否曾经听过“通过晦涩难懂的安全性”一词?如果是这样,请把这种方法扔出去,因为微软不希望与之有任何关系!但是,如果您不熟悉该术语,则通过默默无闻(STO)的安全性(STO)基本上围绕着这样的想法,即如果组织隐藏重要的信息和/或执行保密作为其主要安全技术,组织将不太开放攻击。这相当于将您的前门钥匙隐藏在受欢迎的垫子下,以为没有人会足够聪明,可以在它下面找到“城堡的钥匙”。不幸的是,这太普遍了,一旦发现该钥匙就会发现您和您的整个房子现在变得脆弱!在安全世界中,这可能涉及隐藏二进制代码或脚本内部的密码,或更改守护程序端口以减少蛮力攻击。Sto的主要问题是,这被视为主要的组织内的安全方法,将所有鸡蛋扔进一个篮子是一个很坏主意。相反,保护环境的最佳方法之一就是假设攻击者已经违反了您的网络。最后的核心原理围绕最小化爆炸半径和分割访问。围绕已经发生或很快发生的违规行为的想法建立您的系统将使您更加自信,因为如果/何时发生侵入,就已经存在缓解。那么这需要什么呢?这涉及收集系统数据和遥测,使用它来检测异常,然后使用该洞察力来自动化预防策略,以便您最好完全防止。但是,如果不可能,您仍然能够快速检测,响应和补救近实时。Microsoft 365 Defender将允许您快速评估攻击者的行为,并立即开始修复问题。
通过将这三个零信托关键原则付诸实践,您将实施跨越整个数字遗产的端到端策略!现在,我们知道了零信任的概念,让我们谈谈通过其七个主要支柱实施零信任的方法:
- 安全身份
- 安全端点
- 安全应用程序
- 安全数据
- 安全基础架构
- 安全网络
- 可见性,自动化和编排
安全身份
这涉及仅验证授予访问您的资源的人员,设备和流程可以访问它们。当这些身份之一试图访问资源时,这将包括使用强大的身份验证验证其身份,并确保身份合规且典型地适合该身份。例如,典型的“可能意味着从美国始终从美国访问资源,然后突然看到同样的身份试图从俄罗斯访问同一天的资源。确保身份时,您应该遵循前面提到的最小特权访问原则。
安全端点
既然已经授予对资源的访问权限的访问权,这意味着数据可以通过各种不同的端点流动(即BYOD设备,公司发出的设备,本地工作负载,云托管服务器,IoT设备等)。随着所有这些设备在野外,就会出现巨大的攻击表面积。幸运的是,我们可以执行设备合规性和设备健康之类的东西来确保我们的访问权限。
安全应用程序
另一个巨大的攻击表面积涉及您的应用。这可能包括本地旧应用程序以及基于云的应用程序。应用程序是您信息的软件输入点,因此确保它应该是最重要的!我们可以通过应用控件和技术发现阴影来做到这一点,从而使您确保人们不使用不应该使用的应用程序。我们还可以将控件应用于应用内权限,监控异常行为,控制特定用户操作等等!
安全网络
可以肯定地说,您的组织使用的几乎所有数据都将通过网络访问。这意味着应建立适当的网络控件以增强该数据的可见性,并有助于防止任何攻击者在妥协网络时横向移动。重点关注的最大领域包括网络细分和网络内微分段,实时威胁保护,端到端加密,监视,然后审查分析。
安全基础架构
这包括本地服务器,基于云的VM,容器,微服务以及基础操作系统和固件。所有这些都可以呈现大型攻击向量。但是,通过评估版本和配置,您可以通过加强防御能力来大大降低风险。此外,使用遥测来检测攻击和异常,并通过自动阻止或标记行为为风险并相应地采取保护行动来阻止它们进入轨道。
安全数据
数据无处不在!数据位于您的所有文件和内容中,并包括结构化和非结构化数据。无论数据居住在哪里,您都需要确保它保持安全,尤其是一旦它离开设备,应用程序,基础架构或网络。幸运的是,可以通过诸如分类,标签和加密和访问之类的内容来保护数据。
可见性,自动化和编排
尽管从技术上讲,这不是零信任的核心支柱,但它已成为如何管理数据的重要方面,并最终帮助您做出更好的信任决策,从而进一步使您的安全性更加严重。在上面突出显示的每个支柱的情况下,您将看到沿途产生的各种警报,这可能会导致您的安全操作中心(SOC)分析师变得比以往任何时候都更加忙碌,并可能导致其中一些缺少警报。幸运的是,微软为您提供了通过主动和反应性检测来管理这些威胁的合适工具,因此您的SOC可以专注于最重要的真正威胁,并让工具处理其余的威胁!
这结束了我们第一个关于采用零信任策略的博客!我希望现在您能够高度了解零信任的含义,并且对零信任策略中的每个支柱有了解。在随后的博客中,我们将在零信任的端到端旅程中深入研究这些层!我希望您发现这个博客很有帮助,并鼓励您在涵盖确保身份的第一支柱后尽快查看。
