安全转型
第一集:Zero Trust 路线图
重要摘录:
Barry Fisher: [00:00:52]
Zero Trust 安全要求对于进入、离开或在企业网络内部的每个请求进行检查、认证、加密和记录。它基于这样的理念:不论请求来自哪里或去往何处,都不应该被隐式信任。仅在每个请求的身份和上下文都得到验证后,才能授予访问权限……
第一步:消除隐式信任
Barry Fisher: [00:04:54]
最经典的起点是消除隐式信任,方式是在授权访问之前,使用强身份验证来验证入站请求的用户身份……单一平台允许对用户将要使用的各种不同应用执行一致的策略……
Barry Fisher: [00:06:01]
首先,为关键应用程序实施多因素身份验证(MFA)。这可以防止假想攻击者接触到您最敏感的数据……已经有身份提供者的组织可以直接在该提供者内设置 MFA,使用一次性代码或推送通知应用。
Barry Fisher: [00:07:14]
……MFA 的防钓鱼能力越强越好。我们建议公司从基本 MFA 开始,然后逐步改进。对于应用程序反向代理服务,如果应用程序已经暴露在互联网上,您只需要拥有更改应用程序 DNS 和记录的权限即可。对于私有应用程序,您将要准备好进行第二步。
第二步:扩展 Zero Trust
Barry Fisher: [00:08:37]
我们不是在您的边界防火墙上开一个洞,而是在这个私有应用程序和需要访问它的用户之间,在互联网建立一个范围非常窄的专用网络……除了使用 MFA 验证身份之外,还通过位于用户和应用程序之间的反向代理执行精细化、最低特权策略。
第三步:考虑应用的暴露风险
Barry Fisher: [00:13:10]
开始让网络工程团队参与以降低您的网络安全风险……它们是否应继续成为入站网络端口是一个常见的攻击途径,在疫情大流行期间,许多组织急于寻找方法来保持员工的生产力。有时,它们会通过 RDP 和 SSH 协议的方式暴露具有较高特权的系统访问权限。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
公司可采取以下 13 个具体步骤,以便在实现 Zero Trust 架构方面取得有意义的进展
第一步:消除隐式信任 [00:04:54]
第二步:将 Zero Trust 扩展到私有应用 [00:08:37]
第三步:考虑暴露于互联网的应用 [00:13:10]