如何实施零信任安全?

转用 Zero Trust 方法不必过于复杂。组织可以从实施 MFA、关闭不必要的端口和其他一些简单的步骤开始。

学习目标

阅读本文后,您将能够:

  • 确定开始实施 Zero Trust 安全所需的步骤
  • 了解 Zero Trust

复制文章链接

Zero Trust 安全如何工作

Zero Trust 是一种建立在组织内部已经存在威胁这一假设基础上的安全方法。在 Zero Trust 方法中,任何用户、设备或应用程序都不会自动获得“信任”——取而代之,企业网络中任何地方的每个请求都要经过严格的身份验证,即使是已经连接过该网络的用户和设备也不例外。

Zero Trust 安全架构基于以下原则构建:

要进一步了解这些原则以及它们如何相互结合、相互促进,请参阅什么是 Zero Trust 网络?

如何实施零信任安全?

实施全面的 Zero Trust 安全措施需要一定的时间,而且需要大量的跨团队协作。组织的数字环境越复杂(即需要保护的应用程序、用户、办公室、云和数据中心的种类越多),就越需要对在这些点之间移动的每个请求强制实施 Zero Trust 原则。

因此,最成功的 Zero Trust 实施都是从较简单的步骤开始的,所需的工作和支持都较少。通过执行这些步骤,组织可以大大降低受到各种威胁的风险,并为更大规模、更具系统性的改进赢得支持。

下面是其中的五个步骤:

1. MFA

多因素身份验证(MFA) 要求登录应用程序的用户提供两个或多个身份验证因素,而不是只有一个(如用户名和密码)。多因素身份验证比单因素身份验证要安全得多,因为从攻击者的角度来看,窃取合在一起的两个因素的信息非常困难。

推出 MFA 是开始加强关键服务安全的好方法,此外还能温和地向用户介绍更严格的安全方法。

2. 针对关键应用程序推出 Zero Trust 策略

Zero Trust 除身份外,还考虑设备活动和状态。将 Zero Trust 策略置于所有应用程序之前是最终目标,但第一步是置于关键任务应用程序之前。

在设备和应用程序之间设置 Zero Trust 策略有多种方法,包括通过加密隧道、代理或单点登录 (SSO) 提供商。这篇文章提供了有关配置的更多详细信息。

3. 云电子邮件安全和网络钓鱼防护

电子邮件是一种重要的攻击手段。恶意电子邮件甚至可能来自可信来源(通过帐户接管电子邮件欺骗),因此应用电子邮件安全解决方案是向 Zero Trust 迈出的一大步。

如今,用户可通过传统的自托管电子邮件应用程序、基于浏览器的 Web 应用程序、移动设备应用程序等查看电子邮件。因此,在云托管的情况下,电子邮件安全和网络钓鱼检测会更加有效——它可以轻松过滤来自任何来源、发送到任何目的地的电子邮件,而不会干扰电子邮件流量。

4. 关闭不必要的端口

在网络中,端口是计算机接收入站流量的虚拟点。开放的端口就像没有上锁的门,攻击者可以利用它侵入网络内部。端口有成千上万个,但大多数并不经常使用。组织可以关闭不必要的端口,以防止 Web 恶意流量。

5. DNS 过滤

从网络钓鱼网站到路过式下载,不安全的 Web 应用程序是威胁的主要来源。DNS 过滤是一种阻止不受信任的网站解析到 IP 地址的方法——这意味着在过滤器后面的任何人根本无法连接到此类网站。

有关 Zero Trust 实施的更多信息

有五个步骤可帮助组织顺利建立完整的 Zero Trust 安全框架。Cloudflare 提供了一份白皮书,详细介绍了这些步骤。下载:Zero Trust 架构路线图