Zero Trust 路线图
学习 5 个转向 Zero Trust 未来的简单项目
Zero Trust 的采用很复杂,但很容易上手
大家广泛认为采用 Zero Trust 安全是一个非常艰难的过程。在许多方面,这一名声并非空穴来风。Zero Trust 要求安全和 IT 部门理所当然地对这些工作保持谨慎:重新思考默认允许策略和基于边界的网络架构,与不同职能团队展开协作,并对新的安全服务充满信心。各组织可能会因��为各种原因而推迟转型,例如:
竞争项目的容量限制
Zero Trust 供应商产品的差异
不确定各种应用程序和资源在网络上的存在位置
可能影响员工的生产力
虽然整体而言,Zero Trust 框架相当复杂——完整的 Zero Trust 架构路线图包括 28 个步骤,但是,其中有些步骤的工作量相对较少,即使是时间有限的小团队也很轻松。
零散采用 Zero Trust
在网络环境中,Zero Trust 安全要求每一个进入企业网络、离开企业网络或企业网络内部的请求都经过检查、身份验证、加密和记录。这是基于这样的理念:不应该对任何请求隐含信任,无论请求来自哪里,无论请求去往哪里。
向 Zero Trust 转型取得早期进展是指在目前还没有这些能力的地方构建这些能力。对于从零开始的组织,这往往意味着将这些能力扩展到单一“网络边界”之外。
这里有五个最简单的 Zero Trust 采用项目,重点是确保用户、应用程序、网络和互联网流量的安全。它们��不会独自实现全面的 Zero Trust,但确实会立即带来一些好处,并为更大范围的转型提供早期动力。
项目 1
对关键应用程序启用多因素身份验证
在 Zero Trust 方法中,网络必须非常确认请求来自它们所声称的实体。这意味着需要建立保障措施,防止通过网络钓鱼或数据泄露盗取用户凭据。多因素身份验证 (MFA) 是防止用户凭据被盗的最佳保护措施。虽然完整部署 MFA 可能需要大量时间,但仅部署于最关键的应用程序是更简单、但仍有影响力的有效方法。
已有标识提供程序的组织可以直接在该提供程序内部设置 MFA——例如通过发送到员工移动设备的一次性代码或推送通知应用程序。对于未与标识提供程序直接集成的应用程序,可考虑在应用程序前使用应用程序反向代理 (Application Reverse Proxy) 来实施 MFA。
没有标识提供程序的组织可以采取另一种方法来实施 MFA。Google、LinkedIn 和 Facebook 等社交平台,或一次性密码 (OTP) 是仔细检查用户身份的另一种方法。这是为第三方承包商开启访问权限、但无需将他们加入企业标识提供程序的常见方式,也可以应用于公司内部。
项目 2
为关键应用程序实施 Zero Trust 策略
实施 Zero Trust 不仅仅意味着简单地验证用户身份。还必须制定策略保护应用程序——始终验证请求、在进行身份验证前考虑各种行为和上下文因素,并持续监测活动的策略。和项目 1 中一样,如果只应用于首批最关键的应用程序,实施起来会更加简单。
安全提升过程因应用程序类型而异:
私有自托管应用(仅在企业网络上可寻址)
公共自托管应用(在互联网上可寻址)
SaaS 应用程序
项目 3
监控电子邮件应用并过滤网络钓鱼企图
电子邮件并不总是纳入了 Zero Trust 对话。但它是大多数组织的最主要的通信方式,是使用最多的 SaaS 应用程序,也是攻击者最常用的入口点。因此值得为其部署 Zero Trust 原则,作为对通常的威胁过滤器和检查措施的补充。
部署云电子邮件安全是实现这一目标的关键步骤。此外,对于可疑程度不足以完全阻止的链接,安全工具应考虑在隔离浏览器中打开链接的选项。
项目 4
为应用交付关闭所有对互联网开放的入站端口
开放的入站网络端口是一种常见的攻击手段,应该部署 Zero Trust 保护。
可以通过扫描技术发现此类端口,Zero Trust 反向代理可以通过此类端口安全地将 Web 应用程序暴露在公共互联网上,而无需开放任何入站端口。应用程序唯一公开可见的记录是其 DNS 记录,可以使用 Zero Trust 身份验证和记录功能保护 DNS 记录。
为进一步增强安全性,内部/私有 DNS 可使用一种 Zero Trust 网络访问解决方案。
项目 5
阻止对已知威胁或有风险目的地的 DNS 请求。
DNS 过滤旨在阻止用户访问已知或高度可疑的恶意网站和其他互联网资源。它并不总是纳入在 Zero Trust 对话中,因为它不涉及流量检查或��记录。但是,它可以最终控制用户(或用户组)可以在哪里传输和上传数据——这与整个 Zero Trust 理念相符。
DNS 过滤可通过路由器配置或直接在用户机器上应用。
全面了解 Zero Trust
实施这些项目是采用 Zero Trust 相对直接的方式。完成了这些项目的任何组织都将取得重大进展,构建更好、更现代的安全策略。
更大范围的 Zero Trust 采用仍然很复杂。为了提供帮助,我们已经为整个 Zero Trust 旅程构建了一个不偏袒任何供应商的路线图,涵盖这五个项目和其他类似项目。有些项目需要的时间远不止几天,但该路线图有助于更清晰地了解采用 Zero Trust 的含义。
Cloudflare 通过 Cloudflare Zero Trust 提供所有这些服务。它可以验证、过滤、隔离和检查所有网络流量,所有功能都集成在一个统一、可组合的平台上,易于设置和操作。而且,其安全的虚拟主干网使用一个覆盖 285+ 个城市、有超过 11,500 个互连的全球网络,与公共互联网相比,在安全性、性能和可靠性方面优势明显。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
Zero Trust 路线图中的 28 步综合措施
5 个 Zero Trust 采用项目要求的工作量相对较少
支持实施的服务类型
如何为组织发起采用路线图