零信任原则

即使美国政府也得出结论，为确保基线安全实践到位并实现基于云的基础设施的安全优势，同时降低相关风险，他们必须迁移到零信任模型，每个组织都应该积极朝着这个方向前进。

零信任模型的基本原则是，在安全边界之外或之内运行的任何参与者、系统、网络或服务都是不可信的。相反，组织必须验证任何试图建立访问权限的事物。美国政府的战略归结为创建真正的零信任模型需要满足的这些基本点：

• 员工访问权限由企业主动管理，这使他们能够访问完成工作所需的一切，同时可靠地保护他们免受高级网络钓鱼和鱼叉式网络钓鱼诈骗。 

• 企业主动监控员工用于完成工作的设备。始终跟踪和监控设备，并在授予对内部资源的访问权限时考虑这些设备的安全状况。

• 代理系统彼此隔离（孤立），并且在它们之间和内部流动的网络流量被可靠地加密。

• 企业应用程序经过内部和外部测试，可以通过互联网安全地提供给员工。

• 企业和数据安全团队协作开发数据类别和安全策略，以便更轻松地自动检测并最终阻止对敏感信息的未经授权和违反策略的访问。

零信任模型的支柱及其最终成功的关键是坚定不移地强调更强大的企业身份和特权访问控制，包括企业范围的多因素身份验证(MFA)。实施安全的、企业管理的身份系统是防止网络犯罪分子执行帐户接管(ATO) 攻击并在企业后端获得立足点以窃取数据或发起其他攻击的最有效方法。企业级特权访问控制的重中之重是为了抵御复杂的网络钓鱼。为实现这一优先级，企业必须要求所有部门整合其身份系统，以一致地应用必要的监控和安全策略实施。加强访问控制将要求部门利用来自不同来源的数据做出明智的决策，例如分析设备和用户信息以评估其系统中所有数据访问活动的安全性。 

企业不能假设任何网络都被隐含地视为可信，也不能依赖网络边界保护来防止未经授权的数据访问。企业必须强制用户登录应用程序而不是网络。除了在零信任模型实施的道路上实施稳健的内部测试计划外，企业还应欢迎外部合作伙伴和独立的观点来评估其数据和应用程序的真实安全和风险状况。例如，企业可能会引入渗透测试人员, 或 pentester 定期对系统进行授权的漏洞评估和审计测试。目的是揭露组织网络安全模型中的弱点，这些弱点将来可能会被不良行为者利用。白帽黑客或道德黑客与渗透测试者的角色几乎相同，但范围更广。道德黑客向组织报告已识别的漏洞（而不是利用它们），通常会提供补救建议，并在组织同意的情况下重新测试网络和系统，以确保已完全解决任何发现的漏洞。

实现特定的零信任安全目标

对于美国联邦政府而言，网络安全和基础设施安全局(CISA) 领导全国努力了解、管理和降低网络和物理基础设施的风险。CISA 的零信任模型描述了创建零信任模型必须实现的五个互补的工作领域（支柱）（身份、设备、网络、应用程序和工作负载以及数据）。

1. 身份：员工必须使用企业管理的身份来访问他们在工作中使用的应用程序。抗网络钓鱼 MFA 保护这些员工免受复杂的在线攻击。
   为确保适当控制特权数据访问，企业必须采用基于风险的访问，通过全面了解用户并深入了解他们的职责和权限，以及在用户尝试访问数据时验证用户身份的能力。他们还必须在企业范围内实施强有力的身份验证实践，并将身份验证方法整合到尽可能少的部门管理的身份验证系统中。这提高了对“正常”用户活动的洞察力，能够更好地检测异常行为，促进更有效的安全策略来限制不必要的访问，并能够快速检测和应对异常行为。 

   
   

2. 设备：企业必须维护其运营和授权用于业务的每台设备的完整清单，以便能够预防、检测和响应这些设备上的安全事件。

   
   

3. 网络：机构必须加密其环境中的所有 DNS 请求和 HTTP 流量，并开始执行将其边界分解为隔离环境的计划。 

   
   

4. 应用程序和工作负载：企业内部的部门必须将所有应用程序视为已连接到互联网，定期对其应用程序进行严格的实证测试，并欢迎外部漏洞报告。

   
   

5. 数据：创建一条清晰的共享路径来部署保护措施，利用全面的数据分类和安全响应，重点是标记和管理对敏感结构化、非结构化和半结构化文档的访问。

   
   

企业应该利用任何可用的云安全服务来监控对其敏感数据的访问，并实施支持企业范围内数据可见性、日志记录和信息共享的解决方案。  

通往零信任模型的道路很漫长，而且很少与我们已经习以为常的传统网络安全策略保持一致。随着全球组织、政府机构和跨国企业继续在受监管、复杂和技术多样化的环境中运营，这将需要建立在自动化安全访问规则基础上的过渡计划，不仅基于谁或什么访问来监管访问数据，还取决于所请求数据的敏感性。好消息是，实现真正的零信任模型的目标越多，您就越能减轻企业的安全风险。不要羞于寻求帮助。

揽阁信息作为Thales的合作伙伴，可以在以下方面帮助客户实现零信任安全：

• 身份认证：Thales强大的身份认证产品线包括了认证平台（STA）和各种身份认证产品（USB Token、智能卡、动态口令令牌、FIDO等）

  
  

• 网络传输安全：Thales的HSE（网络链路加密机）可以在2、3、4层网络链路上对数据进行加密保护，其产品拥有FIPS 140-2 Level 3安全认证。

  
  

• 数据加密：Thales的CipherTrust Data Security Platform（CipherTrust数据安全平台）可以对硬件层、操作系统层、应用软件层、云等维度上的动态数据和静态数据进行加密和保护。

  
  

• 密钥保护：Thales提供多种型号的HSM产品，可满足各类不同业务场景的需求。Thales HSM拥有FIPS 140-2 Level 3和CC EAL4+认证。

除了上面的产品之外，联系揽阁信息还可以获取属于您的定制化安全解决方案。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales提前完成收购Imperva交易

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么

• 保护您的组织免受网络犯罪即服务（CaaS）攻击

• Thales 2023年数据威胁报告：5G时代电信网络安全挑战加剧