零信任模型:如何实施此安全框架

已发表: 2023-01-30

信任在任何伙伴关系中都是必不可少的。

客户相信组织会保护他们的信息安全。 为了维护这种信任并确保他们的数据安全,您需要对公司的数据安全保持谨慎。 零信任可以帮助您做到这一点。

零信任是一种安全框架,有助于保护组织的机密性、完整性和可用性。 它不信任所有用户,即使他们过去已经过身份验证和验证,并且要求他们在每次访问资源时都经过验证。

这一额外的安全层可防止恶意行为者访问敏感数据,并确保只有授权用户才能访问系统,从而确保您的网络安全无虞。

什么是零信任模型?

零信任模型作为传统数据安全框架的对立面出现,以降低风险和控制对共享数据的访问。 此数据安全框架概述了信息如何在组织内共享和保护。

传统的安全框架基于“信任但验证”的思想。 在这种情况下,一旦设备被验证和信任,它就会始终保持可信状态,并且不需要为后续使用进行验证; 如果什么都没有改变。

例如,当您的手机第一次连接到您家的WiFi网络时,只要WiFi密码或设备信息保持不变,您的手机就会自动断开并重新连接。 验证步骤仅证明此设备之前已连接。 一旦被信任,它将永远被信任。

相比之下,零信任模型基于“从不信任,始终验证”。 零信任安全模型,也称为零信任架构 (ZTA) 或简称为零信任模型,是一种提供无边界安全架构的 IT 系统设计理念。

换句话说,零信任模型的组件以这样一种方式运行,即系统在自身与任何连接的设备或帐户之间自动和相互验证和授权。 这消除了安全过程中的不确定性,尤其是在做出访问决策时。

在零信任模型中,身份验证和授权发生得更加频繁。 仅仅因为设备或帐户之前连接到网络并不意味着该设备仍然安全。

除了要求用户在每次访问网络时重新进行身份验证外,某些系统还要求在用户会话期间以设定的时间间隔进行身份验证检查。 另一个策略可能是不活动检查:如果用户在几分钟后变得不活动,系统将强制他们的帐户注销,直到用户返回并再次进行身份验证。

零信任模型组件

资料来源: Satori Cyber

数据治理和零信任

数据治理可确保您的组织保持合规性,并且您的数据准确、最新且安全。 自成立以来,ZTA 不断获得发展和普及,尤其是在数据安全级别最高的公司中,例如银行、社交媒体数据库和政府机构。

事实上,美国国家标准与技术研究院 (NIST) 在其 SP 800-207 文件中描述了零信任,该文件于 2018 年发布,并于 2021 年 5 月被采纳为标准政府协议,以应对越来越多的备受瞩目的数据泄露事件。

许多企业现在都在采用零信任模型,无论其规模大小。 这是因为数据库及其使用变得更加复杂,更不用说如果数据被盗、损坏或以其他方式被篡改,潜在风险也会增加。

具有安全策略、授权流程和其他支持组件的零信任架构可有效保护您的数据。

零信任模型的 3 个原则

不同的国家有不同的零信任政策。 例如,虽然美国参考了 NIST 的 SP 800-207 文件,但英国的国家网络安全中心 (NCSC) 了解零信任的关键原则。 无论在哪个国家,零信任安全都归结为三个主要原则:

  • 信任方法:如何访问数据(从不信任,始终验证)
  • 安全态势:哪些安全政策和程序管理数据访问(假设会发生违规行为;尽你所能将“爆炸半径”降至最低)
  • 数据保护:在访问之前、期间和之后如何保护数据(应用最小特权原则)

信任方法

如何访问数据的答案将决定您的信任方式,要么是“从不信任,总是验证”,要么是“信任但要验证”。 数据访问,尤其是生产数据,是组织关注的重点。

这种访问对于为组织创造价值至关重要。 但是,存在暴露的风险。 由于大多数公司将敏感数据存储在他们的数据库、仓库和湖泊中,因此必须控制和保护对这些信息的访问。

安全政策

管理数据访问的政策和规则降低了数据泄露的可能性和后果。 您应该制定清晰且确定的数据安全策略。

采用“零信任”方法的数据安全策略有助于在授予访问权限之前彻底审查数据访问请求。 有必要制定明确的数据安全政策来规定访问规则。 数据泄露可以有多种形式,安全策略可帮助您保持领先并始终保持警惕。

数据保护

这一原则支配着您如何保护数据,尤其是敏感数据。 您可以设置访问权限,以便每个人都可以访问数据或根据角色或属性限制访问权限。 零信任尽可能地限制未经授权的访问。

零信任原则都与标准数据安全措施和政策相关,包括授权和身份验证、用户凭证和数据治理等。

零信任模型的基础取决于以下因素:

  • 谁应该访问数据,他们应该如何访问数据?
  • 哪些流程可以最大限度地降低安全风险(自动重新验证、不活动检查等)?
  • 应该如何对数据库进行分段和隔离,以最大限度地减少安全漏洞造成的损害?
  • 哪些流程、政策和程序跟踪和审计安全性以确保持续的安全、解释上下文和审查违规行为以防止进一步的风险?

通过解决这些问题,您的安全团队创建了一个架构,该架构可以自动执行身份验证和安全检查,从而在发生违规时限制人为错误或对数据库的永久损坏。

创建零信任数据访问策略

没有什么比数据安全事件更快地破坏公司的声誉了。 因此,备份数据至关重要。 从信用卡号码和政府文件(如社会安全号码、出生证明、护照和其他形式的身份证明)到银行信息和实际地址,很多信息都有落入坏人之手的风险。

如果您公司的数据库是一座城堡,那么数据访问和管理访问的控制是第一道防线,也是防范威胁的哨兵。

如前所述,传统的“信任但验证”模型完成了一半的工作——它寻找威胁。 但是一旦它将设备或用户标记为安全,它就会一直被认为是安全的,直到它不再安全为止。 无论哪种方式,一旦帐户进入,就很少会进行持续的安全检查,因为事先授权表明用户可以进入数据库中的哪个位置。

使用零信任模型,访问控制将数据库视为未知实体,无论用户从同一设备访问数据库的频率如何。 在正确识别和授权用户帐户之前,安全检查不会完成。

定期被动地执行额外的安全检查,以确保帐户用户在他们应该在的地方。 如果他们超过了预定义的限制、行为可疑或变得不活跃,各种安全流程就会介入以断开帐户连接并保护数据。

无论使用零信任模型的数据库如何处理潜在或已证实的违规行为,归结为适用的访问策略、规则和程序。 没有规则,就没有一致的安全实施,用户可以在不顾自身安全的情况下访问数据库及其内容。

在制定零信任访问策略时考虑以下因素:

  • 您应该如何验证、授权和加密用户帐户连接?
  • 在单个会话期间应多久检查一次用户帐户?
  • 您是否应该使用不活动计时器,如果是这样,在系统将其注销之前,帐户在会话期间可以处于不活动状态多长时间?
  • 您的密码策略应该有多强,这些密码多久更改一次? 是让用户自己想出密码,还是由系统自动生成?
  • 某些类型的设备和连接是否被认为比其他类型的设备和连接更安全(即,用户是否必须在办公室登录到特定组织拥有的设备,或者他们可以从家庭计算机远程登录)?

一旦您找到了这些问题的答案,您就可以设计您的数据库安全架构来自动响应任何数据访问威胁。 此外,通过建立明确的政策和规则,您的安全团队可以更快、更高效地审核数据库,始终如一地执行期望,并更深入地了解数据库架构,并随着时间的推移对其进行改进。

零信任模型的组成部分

零信任模型有两个主要组成部分:

  • 概述用户访问、身份验证和授权的核心组件
  • 补充、加强或以其他方式与这些过程交互的功能组件

这两个组件协同工作以确保您的数据库安全,确保合规性,实现有效的审计和用户管理,并了解未来的安全和访问控制策略变更。

核心组件

考虑前面提到的数据库城堡:核心组件代表大门以及用户如何通过该大门。 当用户首次连接到系统时,他们会通过策略执行点建立不受信任的连接。

执行点包括两部分:

  • 政策引擎:访问控制和其他系统功能,解释权限、特权、授权和其他有用形式的元数据以验证其凭证。
  • 政策管理员:让引擎继续工作的人类操作员,发现潜在的故障并在系统故障保险控制之外发生违规时在必要时进行干预。

如果用户帐户在策略执行点通过了所有相关检查,它就被授予对公司资源的可信访问权限。 核心组件在两个级别上运行:用户、连接、策略执行点和资源驻留在数据平面中,策略模块和策略管理员驻留在控制平面中。

功能组件

如果核心组件是大门,那么功能组件就是手持长矛、训练和准备行动的命令的警卫,具体视情况而定。 顾名思义,功能组件通过扩展核心组件及其流程(通过实施各种安全措施)或将它们用于其他目的,如审计、分析、用户身份和帐户管理,从而作用于核心组件及其流程。

尽管此列表并不详尽,但以下是零信任模型中的一些常见功能组件:

  • 数据安全和访问策略:确定谁可以访问数据库、如何访问、何时访问以及他们可以访问哪些信息。
  • 加密:加密确保与系统的所有连接和通信都是安全的,不会被第三方破坏。
  • 端点安全:保持与用户设备连接的入口点和出口点安全并免受利用的策略和程序。
  • IAM 访问:管理系统内用户识别的技术和流程的身份和访问管理框架。
  • 安全分析:生成安全团队用来扫描弱点、可疑活动和漏洞的元数据,并开发有效应对这些威胁的方法。
  • 合规性:确保所有系统和功能都符合行业标准和法律合规性,例如 HIPAA、CCPA、GDPR 和其他监管要求。

总之,功能组件不仅仅是在系统内运行的流程和代码,而是确保整个零信任模型顺利运行的治理和程序。

组件交互

核心组件和功能组件协同工作以保护您公司的数据库。 虽然核心组件直接与用户访问公司资源的请求交互,但可用组件在边缘工作,添加访问控制、生成安全分析或提供其他有用的信息和服务,以使核心组件更有效。

虽然两者之间可能有一些重叠(策略引擎需要访问管理策略才能工作),但两者都是零信任模型有效工作所必需的。

零信任最佳实践

零信任模型最好总结为将每个连接、用户和设备都视为不可信的,无论它们之前连接到系统的次数如何。 此外,在整个用户会话期间会定期对活动和验证进行安全检查,以确保用户没有可疑行为。

以下是实施零信任框架时要牢记的一些最佳实践。

永远不信任,永远验证

无论谁访问数据库,始终将连接视为未知。 一个简单的安全错误是信任来自已被攻击者入侵(远程黑客攻击或物理控制)的记忆设备的连接。

通过对每个连接强制执行验证,您可以将被劫持帐户或设备削弱数据安全性的风险降至最低。

了解您授予谁访问权限以及原因

即使每个用户都成功连接到您的数据库,也始终应用最小权限原则(或 PoLP)。 换句话说,每个帐户都应该被授予最少的访问权限以在数据库中完成其工作。

例如,HR 不需要访问客户记录,销售团队不需要查看所有同事的工资。 如果用户更改角色或部门或被解雇,他们的访问权限将立即适当更改。

实施强大的访问控制

让每个人都通过的门不是很有用。 因此,定义身份验证和授权策略非常重要,以便每个用户都经过验证过程并获得适当级别的数据库访问权限。

始终保持安全访问

一旦连接被验证为可信的,就应该在整个用户会话期间执行定期的被动安全检查。 例如,除了验证用户元数据和活动之外,您还可以在用户在会话期间长时间不活动时实施强制断开连接。

零信任是组织安全的重要组成部分

尽管“信任、验证”是传统安全方法的基石,但我们发现自己身处一个更加危险和复杂的数字世界。 由于攻击者找到了利用长期存在的漏洞和物理漏洞(例如被盗的受信任设备)的方法,因此需要新的方法来保护敏感信息。

虽然不是 100% 万无一失,但零信任模型尽可能多地消除了传统“信任但验证”策略中的漏洞。 通过将每个连接都视为不安全的,在用户会话期间定期检查用户凭据,并在发生安全漏洞时通过最小化“爆炸半径”进行规划,您的组织可以快速响应可能出现的任何安全问题。

零信任模型是黄金标准,即使您的组织不是政府机构、银行、医疗保健提供者或其他保护数十万条敏感记录的实体。 如果不实施零信任框架,您将容易受到简单的攻击,而这些攻击本可以通过相对较小的调整来避免。

但是,当您考虑用户访问控制、身份验证、加密、端点安全和活动日志等组件及其在您的数据安全策略中的作用时,您已经为稳健的零信任架构和数据安全奠定了基础。

远程工作可能是导致安全漏洞的主要原因之一。 以下是在危机期间加强远程员工安全的方法。