在零信任体系结构中,网络不再被视为受信任的边界。 相反,它将成为一个传输层,其中必须显式验证、授权和持续监视每个连接。 网络支柱侧重于通过强制标识和上下文感知控制、分段连接以及最大程度地减少攻击者横向移动的能力来保护对应用程序和资源的访问。
网络支柱指南侧重于将访问控制从外围移开,更接近应用程序和资源。 它强调使用标识和设备信号验证每个连接,通过分段强制实施最低特权访问,并通过限制暴露和限制横向移动来假设违反。
研讨会实施
网络研讨会涵盖表格中汇总的实施区域。
| Area | 详细信息 |
|---|---|
| 为应用程序实施零信任网络访问(ZTNA) | 将企业网络中隐式信任替换为标识和基于上下文的访问决策。 使用标识感知访问控制将用户直接连接到应用程序,并根据标识、设备状况、风险信号和位置持续评估会话。 |
| 启用对内部应用程序的安全专用访问 | 提供对内部和专用应用程序的访问权限,而无需将其公开给公共 Internet。 使用应用程序代理和标识感知网关消除广泛的网络级访问并减少攻击面。 |
| 安全的出站互联网访问 | 使用安全 Web 网关(SWG)或类似的云传送控件来检查、筛选和控制出站流量。 根据用户标识、设备状态和风险应用策略,以防止访问恶意或不当的目标。 |
| 保护面向互联网的应用程序和端点 | 通过对批量、协议和应用程序层攻击应用分层保护,减少面向公众的应用程序和服务暴露。 使用流量筛选、请求检查、速率控制和自动缓解来提高复原能力和可用性。 |
| 分段网络和应用程序访问 | 跨本地和云环境实现分段和微分段,以限制用户、设备和应用程序之间的连接。 通过仅授予对显式授权资源的访问权限来限制横向移动。 |
| 加密和保护所有网络流量 | 确保所有流量(内部、外部和东西向流量)在传输过程中均经过加密。 使用安全协议和标识感知网关维护通信的机密性和完整性。 |
| 将强制措施更接近应用程序和数据 | 将强制措施从传统外围控件转移到应用程序级别和标识感知控件。 使用反向代理、应用程序网关和基于会话的控制在访问点强制实施策略。 |
| 提高网络可见性和持续监视 | 深入了解网络流量、应用程序访问模式和用户活动。 持续监视会话并分析来自网络控制、网关和分段边界的日志,以检测异常和支持调查。 |
| 将网络信号集成到安全操作(SecOps) | 将网络遥测、访问事件和流量分析馈送到集中式监视和响应系统中。 将网络活动与标识、设备、数据和基础结构信号相关联,以检测威胁、调查事件以及响应可疑行为。 |
评估网络状况
零信任评估工具可以根据一系列安全最佳做法评估网络配置。 了解详细信息。