亚洲国产日韩欧美综合A_欧美日韩亚洲色熟_亚洲男人在线天堂2019香蕉_在线观看亚洲国产色_国产色噜噜在线观看_精品国产高清一区二区三区av_久久伦理免费视频_免费无遮挡无码视频观看_14萝粉嫩自慰喷水_超碰牛牛91精品无码

安全專家們必須重新思考實(shí)現(xiàn)網(wǎng)絡(luò)安全和對應(yīng)用及其它工作任務(wù)進(jìn)行訪問控制的方法，尤其是在涉及到云時(shí)，這個問題尤其重要。

自從零信任近年來被人們所重視，許多安全專業(yè)人員已經(jīng)開始在安全項(xiàng)目中利用了零信任的原則。零信任的目標(biāo)是改變當(dāng)前的網(wǎng)絡(luò)安全方法，它主要引入了如下三方面：

首先，將整個環(huán)境看作是潛在不受信任的，或是遭到損害的，并與所謂的外部攻擊手段帶來的破壞形成對比。破壞力最強(qiáng)的攻擊場景幾乎越來越多地都來自內(nèi)部，并且往往是由高級惡意軟件和損壞終端用戶的釣魚攻擊造成的。

其次，更好地理解端點(diǎn)上的應(yīng)用程序行為。這要準(zhǔn)確理解哪些得到許可的應(yīng)用程序的網(wǎng)絡(luò)通信可以被傳輸。

第三，環(huán)境中的所有部分，都要從總體上專注信任關(guān)系和系統(tǒng)到系統(tǒng)的關(guān)系。安全團(tuán)隊(duì)今天在企業(yè)網(wǎng)絡(luò)中所看到的大量通信可能完全沒有必要，或者與系統(tǒng)不相關(guān)，或者與業(yè)務(wù)所需要的應(yīng)用無關(guān)。

保持云安全的新障礙

很多傳統(tǒng)的控制并不能夠完成安全目標(biāo)。高度虛擬化和聚合的工作任務(wù)，以及擁有動態(tài)屬性的公有云等，都使問題變得更復(fù)雜。云端的工作任務(wù)經(jīng)常要在本地和外部的云服務(wù)環(huán)境之間遷移，或者在一家云服務(wù)供應(yīng)商環(huán)境的不同部分之間遷移。

工作任務(wù)的性質(zhì)也正在發(fā)生改變。例如，將工作任務(wù)上傳到公有云而不對其進(jìn)行修改，幾乎是不可能的。有些企業(yè)已經(jīng)要求實(shí)施新的訪問控制的零信任，從而更好地適應(yīng)動態(tài)的云部署模式。

零信任安全模式如何助力企業(yè)安全

到底什么是零信任？零信任是一種模式，它將IT 運(yùn)營環(huán)境中的所有資產(chǎn)都默認(rèn)看作是不被信任的，除非網(wǎng)絡(luò)通信和應(yīng)用或服務(wù)行為被驗(yàn)證和得到許可。零信任的概念在早期主要是對網(wǎng)絡(luò)訪問的位置和主機(jī)進(jìn)行分段，并保障其安全。

如今，它已經(jīng)更多地集成到獨(dú)立服務(wù)器和工作任務(wù)中，用以檢查應(yīng)用程序組件、二進(jìn)制文件和應(yīng)用架構(gòu)中通信系統(tǒng)的行為。零信任的方法并不涉及到清除邊界。相反，在云的應(yīng)用和部署中，這種模式使用網(wǎng)絡(luò)和應(yīng)用層的微分段，從而盡可能地將邊界遷移到內(nèi)部，盡最大可能靠近特權(quán)應(yīng)用（包括移動應(yīng)用）和受保護(hù)的范圍。

策略和微分段如何使利用零信任成為可能

為實(shí)施零信任的云安全，信息安全和運(yùn)營團(tuán)隊(duì)需要關(guān)注兩個關(guān)鍵概念。

首先，安全需要集成到工作任務(wù)中，既要在實(shí)例中存在，又要在不斷變化的云環(huán)境進(jìn)行更新時(shí)保持訪問控制。通過創(chuàng)建一個策略強(qiáng)化層，不管工作任務(wù)運(yùn)行到何地，企業(yè)都可以更好地保護(hù)數(shù)據(jù)而不管數(shù)據(jù)實(shí)例在何處運(yùn)行。

在某些方面，這就將安全策略和訪問交還給個別實(shí)例，這與將其置于網(wǎng)絡(luò)內(nèi)部相反。然而，公有云和混合云的架構(gòu)設(shè)計(jì)并不能輕易地適應(yīng)傳統(tǒng)的網(wǎng)絡(luò)分段模式。

其次，企業(yè)需要更好地理解運(yùn)行在每個系統(tǒng)上的應(yīng)用和服務(wù)的真實(shí)行為。與以往相比，系統(tǒng)和應(yīng)用之間的關(guān)系要求企業(yè)進(jìn)行更為嚴(yán)格的審查，目的是為了有助于一種高度受到限制的零信任的運(yùn)營模式，從而不至于影響網(wǎng)絡(luò)連接。在固定的網(wǎng)絡(luò)強(qiáng)化點(diǎn)的背后，虛擬實(shí)例和容器等動態(tài)資產(chǎn)都難以進(jìn)行定位。

企業(yè)可以采用一種零信任的微分段策略，允許通信在許可的系統(tǒng)和連接之間流動，而不管其所處的環(huán)境如何。這幾乎就是要求一種網(wǎng)絡(luò)策略和身份策略相結(jié)合，從而定義允許通信和行為的方法。不管環(huán)境如何，零信任的微分段可以防止攻擊者使用未經(jīng)許可的連接從受攻擊的應(yīng)用進(jìn)入系統(tǒng)。

從本質(zhì)上說，零信任有助于構(gòu)建密切關(guān)系策略，其中的系統(tǒng)擁有密切的相互關(guān)系、經(jīng)許可的應(yīng)用和通信。任何通信企圖都要被評估，并且與這些策略進(jìn)行比對，從而決定是否允許這些行為。

上述動作是持續(xù)發(fā)生的。有效的零信任控制技術(shù)還要包括一些機(jī)器學(xué)習(xí)功能，對企圖發(fā)生的行為執(zhí)行分析和處理。這種技術(shù)隨著時(shí)間的推移，能夠動態(tài)地適應(yīng)工作任務(wù)和應(yīng)用環(huán)境的變化。

實(shí)施零信任云安全的最佳方法

在部署零信任的工具和控制時(shí)，企業(yè)不妨關(guān)注如下最佳方法：

首先，可以從被動的應(yīng)用程序發(fā)現(xiàn)開始，這往往與網(wǎng)絡(luò)通信的監(jiān)視一起實(shí)施?？梢钥紤]用幾周的時(shí)間發(fā)現(xiàn)已有的要素關(guān)系，并與那些理解正常流量模式和正常的系統(tǒng)通信的利益關(guān)系人進(jìn)行協(xié)作。在確認(rèn)了應(yīng)當(dāng)部署的正確關(guān)系后，應(yīng)當(dāng)實(shí)施強(qiáng)化策略，此措施要與應(yīng)用程序的行為分析一起進(jìn)行。

其次，不妨根據(jù)數(shù)據(jù)如何在網(wǎng)絡(luò)之間進(jìn)行移動、用戶和應(yīng)用如何訪問敏感信息等方面設(shè)計(jì)零信任架構(gòu)。此步驟有助于決定如何網(wǎng)絡(luò)分段，還有助于安全團(tuán)隊(duì)確定應(yīng)當(dāng)將保護(hù)和訪問控制安置在不同網(wǎng)絡(luò)分段邊界的什么地方。

第三，更高級的零信任工具往往與資產(chǎn)身份集成在一起，后者有可能是一個應(yīng)用架構(gòu)的一部分，并與某個業(yè)務(wù)部門、組或是一個具體系統(tǒng)類型的代表保持一致。因而，安全團(tuán)隊(duì)不妨花點(diǎn)時(shí)間對系統(tǒng)和應(yīng)用進(jìn)行分類，這將有助于構(gòu)建應(yīng)用通信的基準(zhǔn)和行為。

信息安全專家們擁有很多本地云工具，如云應(yīng)用安全工具。此外，一些第三方的廠商現(xiàn)在也提供可以通過網(wǎng)絡(luò)、基于代理或是通過身份控制而隔離網(wǎng)絡(luò)和云應(yīng)用的產(chǎn)品和服務(wù)。