在網絡安全領域，“零信任”概念（即設備在默認情況下從不信任且始終經過驗證）並不新鮮。 然而，隨着不斷發展的數字環境爲日益增加的網絡威脅創造了環境，零信任對於澳大利亞的組織來說比以往任何時候都更加重要。

零信任方法要求對設備進行驗證，即使它們之前已獲得網絡許可。 現在，我們在個人和專業環境中使用物聯網 (IoT) 連接的設備比以往任何時候都多。 一般來說，物聯網設備旨在以非常有效的方式提供單一服務 - 不幸的是，這意味着安全並不總是優先考慮的事項。 缺乏內置安全性使設備容易受到攻擊，從而形成進入整個組織網絡的潛在路徑。

根據最近的一項研究，雖然超過 80% 的澳大利亞組織認識到需要更加關注零信任，但大多數公司在實施零信任時仍然優先考慮用戶 (54%)，而不是設備 (24%) 或網絡 (17%) 信任安全。 隨着供應鏈攻擊的增加，企業和組織在繼續數字化轉型之旅時必須做得更好。 他們需要在網絡基礎設施战略中優先考慮網絡安全作爲連接設備，而物聯網在其整體技術堆棧中發揮着越來越重要的作用。

零信任——基礎

網絡分段是關鍵的零信任原則。 通過分離網絡元件，可以減少受感染設備的攻擊面，限制網絡上的橫向移動，並且可以避免其他連接的系統。

從歷史上看，組織一直受到外圍防火牆以及建築安全等物理訪問的保護，因此信任邊界在物理上和隱式上都緊密一致。 裏面的東西受到保護，不受外界的影響。 然而，隨着物聯網技術、集成供應鏈、共享採購模式和隨時隨地工作的快速採用，信任的邊界日益破裂。 隨着網絡風險越來越大，這種方法需要不斷發展。

在零信任概念的情況下，信任是動態的，不再是假設的——即使在網絡內也是如此。 相反，該結構假設系統中已經存在攻擊者。 第一步是網絡訪問控制 (NAC) — 識別對象並對連接的用戶進行身份驗證。 第一級宏觀分段是根據這些因素設置的，並使用不同類別的對象和用戶之間的防火牆過濾流量。 例如，您可以隔離監控攝像頭和建築管理傳感器。

從那裏开始，第二級過濾位於段內並且基於識別。 第二步可以細化和實現微分段，例如防止監控攝像頭在同一網段內相互通信，只允許流量流向網絡錄像機（NVR）。

零信任的好處

通過微觀和宏觀細分的智能組合，零信任方法圍繞每個用戶和對象構建了受限的移動安全邊界。 然後，組織可以管理 NAC、定義不同的授權並通過強大的安全策略保護和遏制威脅。 同樣重要的是，組織必須假設系統已被破壞，監控入侵並制定有效的響應策略——這是《澳大利亞網絡安全原則》中提倡的方法。

網絡攻擊現在不可避免，組織可能面臨巨大的聲譽和財務損失。 澳大利亞最近發生的備受矚目的數據泄露事件，包括 Optus 和 Medibank 泄露事件，已經暴露了數百萬條客戶記錄，包括個人身份信息 (PII) 和敏感的個人健康數據。 兩家公司目前都面臨集體訴訟，公开報價的風險成本分別爲 1.4 億澳元和 4500 萬澳元。 通過在允許網絡訪問之前對每個設備和用戶進行身份驗證和身份驗證，網絡分段極大地限制了攻擊的範圍和傳播。

零信任的五個步驟

從頭开始構建零信任網絡並不太復雜。 然而，由於大多數組織已經擁有現有的基礎設施，因此面臨的挑战是確保棕地和綠地網絡與安全元素之間採用和諧的方法和有效集成，以滿足組織的需求，同時確保其免受攻擊。

以下是採用零信任方法實現網絡安全的五步方法：

1. 監控：識別所有設備、外圍設備和連接的設備（從平板電腦到 Wi-Fi 吸塵器）並對所有有權訪問網絡的員工進行身份驗證。 系統會自動創建並填充對象清單。

2. 驗證：檢查所有連接的設備並評估當前授予的訪問權限與實際需要的訪問權限。 應用最小權限原則：授予執行任務所需的最小權限。 如果現有網絡顯示不合規設備，請實施恢復或補救計劃。

3. 規劃：基於對設備、工作流程和生成流量的了解，將這些數據轉化爲智能結合宏觀分段（輸入/輸出控制）和微觀分段（細粒度安全規則）的安全策略。

4. 模擬：在“故障开放”模式下應用並行識別、認證和安全策略：所有設備都將被授權，網絡行爲將被記錄和索引，以設置授權方案和適應的網絡安全策略。 這一關鍵步驟完善了安全策略，同時確保正常活動不受影響。

5. 強制：在最後一步中，“失敗打开”變爲“失敗關閉”：不容忍身份驗證失敗； 拒絕所有未引用的用戶或設備，並停止所有非法流量。 網絡監控會持續進行，以驗證所有設備是否已被識別。 用戶經過身份驗證才能在網絡上獲得授權，或者在進行安全檢查時可以被隔離。

人類往往是組織網絡安全中最薄弱的環節，根據 Forrester 的數據，亞太地區仍然是全球最常見的目標區域。 因此，持續驗證、執行，更重要的是，在檢測到違規行爲時迅速檢測和響應比以往任何時候都更加重要。

零信任既是一種身份驗證策略，也是整個網絡基礎設施中一致的安全策略，根據用戶和連接技術的需求實施。 在日益復雜和互聯的世界中，零信任方法是保護您的網絡和業務用戶和資產的最可能的策略。

 CIBIS峰會 

由千家網主辦的2023年第24屆CIBIS建築智能化峰會即將正式拉开帷幕，本屆峰會主題爲“智慧連接，‘築’就未來”， 將攜手全球知名智能化品牌及業內專家，共同探討物聯網、AI、雲計算、大數據、IoT、智慧建築、智能家居、智慧安防等熱點話題與最新技術應用，分享如何利用更知慧、更高效、更安全的智慧連接技術，“築”就未來美好智慧生活。 歡迎建築智能化行業同仁報名參會，分享交流！

報名方式

成都站（10月24日）：https://www.huodongxing.com/event/6715336669000

西安站（10月26日）：https://www.huodongxing.com/event/3715335961700

長沙站（11月09日）：https://www.huodongxing.com/event/7715337579900

上海站（11月21日）：https://www.huodongxing.com/event/9715337959000

北京站（11月23日）：https://www.huodongxing.com/event/3715338464800

更多2023年CIBIS峰會信息，詳見峰會官網：http://summit.qianjia.com/

標題：零信任網絡基礎設施的五個關鍵步驟

地址：https://www.utechfun.com/post/275549.html