利用数据增强零信任安全性
2022-06-08 20:27
随着远程混合办公、自带设备(BYOD)和基于云计算的基础设施等数字企业趋势带动了设备和用户与企业网络交互方式的发展,也带动了网络安全的发展。
如今,零信任是网络安全领域的热门话题。零信任经常被解读为采用了高摩擦策略,比如持续的重新认证提示和自动注销,这些都会给用户体验带来使用障碍、时间花费和挫败感。但利用零信任原则并不一定意味着将用户置于一个花在尝试访问数字资源的时间与花在使用数字资源的时间一样多的境地。
在这篇文章中,我们澄清了关于零信任的困惑,并探讨了一个成熟的网络安全团队如何构建一个零信任系统,以确保用户和数据的安全,并保持无缝的用户体验。
什么是零信任?
在评估如何最好地利用零信任原则之前,我们需要再一次定义它。根据零信任架构文件,零信任是一种持续验证的网络安全框架,将“防御从基于网络的静态边界转移到关注用户、资产和资源”。
零信任安全策略采用永不信任,始终验证的方法,在用户和数据访问网络时持续跟踪他们,以替代允许用户在其设备通过身份验证(如信任但还未认证)时就访问整个网络,或信任任一可以通过防火墙(如边界安全)的设备。
零信任当前的作用
典型的零信任策略层叠了持续身份验证和加密技术 ,当数据在整个网络中移动时保护数据,从而创建上述高摩擦环境。
多因素身份验证(MFA)等技术用以限制访问和授权,而加密技术则在数据通过网络之前和期间对其进行加密。
虽然这些都是保护性的措施,但这些策略有很大的缺点需要考虑。
使用 MFA 、持续的重新登录提示
和频繁的超时来进行持续验证
这些策略会对企业用户体验产生不利影响。身份验证会减慢用户的工作速度,并迫使他们让设备始终可用。当单个用户使用多个设备(手机、笔记本电脑或平板电脑)时,这些摩擦会成倍增加,这在当今的工作场所中越来越普遍。
最令人担忧的是,所有这些努力都可能导致“身份验证疲劳”,用户被要求进行大量身份验证,以至于他们不再关注通知。这本身就是一个重大的安全漏洞,增加了违规的可能性。
始终加密所有内容
这种策略冒着过时的风险过度依赖有用的安全层。正如我们所知,计算技术的进步已经有可能破坏或严重限制加密。
此外,当您认为加密仅只是密钥安全时,世界立法机构有能力通过强制后门进入端到端加密系统的能力增加了破坏加密并开辟了攻击途径的可能性。这可能会使组织几乎像加密之前一样容易受到攻击。
为了实现零信任的真正潜力,需要对这些原则进行更全面、更广泛和可持续的解读。
全面零信任
其核心是有效的零信任策略可实现积极的用户体验,同时确保高级别的安全性。使用分析与自动化技术来监控网络中可疑行为,并对其采取措施有助于减少摩擦。
以下组件是启用基于零信任原则的综合安全架构的关键:
为了确保强大的身份验证功能, 应通过自动收集用户行为数据来持续监控网络 。这些数据构成了可分析和处理的信息的实时基础,用可操作的信息代替重复的身份验证请求。
为了建立访问协议,网络架构师应该构建用户行为分析(UBA),它可以根据数据使用多个变量作为上下文线索,并使用 AI 进行学习,以便对可疑活动作出更好、更快地判断。这有助于避免系统设计中的繁琐规则,并将身份验证请求定位为有针对性的访问工具,而不是默认设置。
通过环境中的分布式计算来实现 UBA 的承诺,利用日志设备、网卡、计算节点和存储节点来加速分析功能。有关更多信息,请参阅 NVIDIA Morpheus 网络安全。
为了在出现数据泄露时保护数据,应构建系统在整个数据中心网络架构中进行防御,而不是专注于边界。网络架构通常侧重于防止恶意行为者离开网络,但这与“边界安全”相反。限制网络内部的横向移动同样重要。
加密可以有所帮助,但需要在主要策略中纳入更大的架构网络调整,以及手段改变和添加。这种方法将使更多数量级的数据需要被收集、分析和包含在自动化安全系统中。
这些策略旨在根据企业的需求进行扩展和发展。利用现有基础设施进行大规模数据收集、分析和处理的前景听起来可能令人望而生畏。为了支持这项工作,NVIDIA 零信任网络安全平台结合了三种技术 —— NVIDIA BlueField DPU 、NVIDIA DOCA 和 NVIDIA Morpheus 网络安全 AI 框架,使得开发合作伙伴能够为数据中心带来新的安全级别。
总结