隨著遠程和混合工作、自帶設備( BYOD )和基于云的基礎設施等數字企業趨勢的發展,設備和用戶如何與企業網絡交互,網絡安全也在不斷發展。有關更多信息,請參閱 零信任體系結構 。
如今,零信任是網絡安全領域的熱門話題,在 網絡安全會議和總統新聞發布室?中也有討論。零信任通常被解釋為結合了高摩擦策略,如持續的重新認證提示和自動注銷,這會給用戶體驗帶來障礙、時間和挫折。但利用零信任原則并不一定意味著將用戶交付給一個我們花在嘗試訪問數字資源和使用數字資源上的時間一樣多的世界。
在這篇文章中,我們澄清了關于零信任的困惑,并討論了一個深思熟慮的網絡安全團隊如何構建一個零信任系統,以確保用戶和數據的安全,并保持無縫的用戶體驗。
什么是零信任?
在評估如何最好地利用零信任原則之前,請后退一步定義它。據 零信任體系結構 論文稱,零信任是一種持續驗證的網絡安全框架,將“防御從靜態、基于網絡的外圍轉移到關注用戶、資產和資源”。
零信任安全策略不允許用戶在其設備通過身份驗證(如VZX18)時訪問整個網絡,也不信任通過防火墻(如VZX19)的設備,而是采用了VZX20的方法,在用戶導航網絡時不斷跟蹤用戶和數據。
零信任在今天的作用
傳統的零信任策略分層 連續身份驗證和加密技術 ,在數據在整個網絡中移動時保護數據,從而創建上述高摩擦環境。
多因素身份驗證( MFA )等技術用于限制訪問和授權,而密碼技術則在數據穿越網絡之前和期間對其進行加密。事實上, 關于零信任的總統行政命令 中特別提到了這些策略。
雖然這些都是保護性的行動,但這些策略有很大的缺點需要考慮。
通過 MFA 、持續的重新登錄提示和頻繁的超時進行持續驗證
這些策略會對企業用戶體驗產生不利影響。身份驗證會減慢用戶的工作速度,并迫使他們讓設備始終可用。當單個用戶使用多個設備(手機、筆記本電腦或平板電腦)時,這些摩擦會成倍增加,這在當今的工作場所中越來越普遍。
最令人擔憂的是,所有這些努力都可能導致“身份驗證疲勞”,用戶被要求進行大量身份驗證,以至于他們不再關注通知。這本身就是一個顯著的安全漏洞,增加了違規的可能性。
始終加密所有內容
這種策略存在過度依賴有用的安全層直至過時的風險。正如我們所知,計算技術的進步已經有可能破壞或嚴重限制加密。
此外,當您考慮到加密只與密鑰一樣安全時,世界立法機構授權后門進入端到端加密系統的能力增加了破壞加密和打開攻擊渠道的可能性。這可能會使組織幾乎像加密之前一樣容易受到攻擊。
為了實現零信任的真正潛力,需要對這些原則進行更全面、更廣泛和可持續的解釋。
全面零信任
其核心是,一個有效的零信任策略能夠在確保高級別安全的同時提供積極的用戶體驗。使用監控網絡中可疑行為并對其采取行動的分析和自動化技術有助于減少摩擦。
以下組件是實現基于零信任原則的綜合安全體系結構的關鍵
為了確保強大的身份驗證功能, 應通過自動收集用戶行為數據來持續監控網絡 。這些數據構成了可分析和處理的信息的實時基礎,用可操作的信息代替重復的身份驗證請求。
建立訪問協議, 網絡架構師應內置用戶行為分析( UBA ) ,可以使用多個變量作為基于數據的上下文線索,并使用 AI 進行學習,以便更好更快地判斷可疑活動。這有助于避免系統設計中繁瑣的規則,并將身份驗證請求定位為目標訪問工具,而不是默認訪問工具。
UBA 的承諾可以通過在整個環境中分布計算來實現,利用日志設備、 NIC 、計算節點和存儲節點來加速分析功能。有關更多信息,請參閱 NVIDIA Morpheus 網絡安全 .
為了在出現漏洞時保護數據, 應構建系統 在整個數據中心結構中進行防御 ,而不是專注于周邊。 網絡體系結構通常側重于防止惡意參與者離開網絡,但這與“外圍安全”相反限制網絡內部的橫向移動同樣重要。
加密可以有所幫助,但更大的體系結構網絡調整,以及儀器更改和添加應作為主要策略納入。這種方法將導致在自動化安全系統中收集、分析和包含更多數量級的數據。
這些策略旨在根據企業的需要進行擴展和發展。利用現有基礎設施進行大規模數據收集、分析和行動的前景聽起來可能令人望而生畏。為了支持這項工作, NVIDIA 零信任網絡安全平臺 結合了三種技術 – NVIDIA BlueField DPU 、 NVIDIA DOCA 和 NVIDIA Morpheus 網絡安全 AI 框架,使開發合作伙伴能夠為數據中心帶來新的安全級別。
總結
NVIDIA zero trust 平臺帶來了加速計算和深度學習的能力,可以持續監控和檢測威脅,并將應用程序與基礎架構隔離,以限制橫向違規,速度比沒有 NVIDIA 加速的服務器快 600 倍。有了這種基礎設施、強大的數據管理和人工智能技術,下一代網絡安全可以實現零信任的承諾。
要了解有關零信任的更多信息,請參加 反思零信任:一種基于人工智能的網絡安全方法 網絡研討會,討論我們的零信任平臺如何幫助解決公共部門的網絡安全問題。
?
