随着远程和混合工作、自带设备( BYOD )和基于云的基础设施等数字企业趋势的发展,设备和用户如何与企业网络交互,网络安全也在不断发展。有关更多信息,请参阅 零信任体系结构 。
如今,零信任是网络安全领域的热门话题,在 网络安全会议和总统新闻发布室 中也有讨论。零信任通常被解释为结合了高摩擦策略,如持续的重新认证提示和自动注销,这会给用户体验带来障碍、时间和挫折。但利用零信任原则并不一定意味着将用户交付给一个我们花在尝试访问数字资源和使用数字资源上的时间一样多的世界。
在这篇文章中,我们澄清了关于零信任的困惑,并讨论了一个深思熟虑的网络安全团队如何构建一个零信任系统,以确保用户和数据的安全,并保持无缝的用户体验。
什么是零信任?
在评估如何最好地利用零信任原则之前,请后退一步定义它。据 零信任体系结构 论文称,零信任是一种持续验证的网络安全框架,将“防御从静态、基于网络的外围转移到关注用户、资产和资源”。
零信任安全策略不允许用户在其设备通过身份验证(如VZX18)时访问整个网络,也不信任通过防火墙(如VZX19)的设备,而是采用了VZX20的方法,在用户导航网络时不断跟踪用户和数据。
零信任在今天的作用
传统的零信任策略分层 连续身份验证和加密技术 ,在数据在整个网络中移动时保护数据,从而创建上述高摩擦环境。
多因素身份验证( MFA )等技术用于限制访问和授权,而密码技术则在数据穿越网络之前和期间对其进行加密。事实上, 关于零信任的总统行政命令 中特别提到了这些策略。
虽然这些都是保护性的行动,但这些策略有很大的缺点需要考虑。
通过 MFA 、持续的重新登录提示和频繁的超时进行持续验证
这些策略会对企业用户体验产生不利影响。身份验证会减慢用户的工作速度,并迫使他们让设备始终可用。当单个用户使用多个设备(手机、笔记本电脑或平板电脑)时,这些摩擦会成倍增加,这在当今的工作场所中越来越普遍。
最令人担忧的是,所有这些努力都可能导致“身份验证疲劳”,用户被要求进行大量身份验证,以至于他们不再关注通知。这本身就是一个显著的安全漏洞,增加了违规的可能性。
始终加密所有内容
这种策略存在过度依赖有用的安全层直至过时的风险。正如我们所知,计算技术的进步已经有可能破坏或严重限制加密。
此外,当您考虑到加密只与密钥一样安全时,世界立法机构授权后门进入端到端加密系统的能力增加了破坏加密和打开攻击渠道的可能性。这可能会使组织几乎像加密之前一样容易受到攻击。
为了实现零信任的真正潜力,需要对这些原则进行更全面、更广泛和可持续的解释。
全面零信任
其核心是,一个有效的零信任策略能够在确保高级别安全的同时提供积极的用户体验。使用监控网络中可疑行为并对其采取行动的分析和自动化技术有助于减少摩擦。
以下组件是实现基于零信任原则的综合安全体系结构的关键
为了确保强大的身份验证功能, 应通过自动收集用户行为数据来持续监控网络 。这些数据构成了可分析和处理的信息的实时基础,用可操作的信息代替重复的身份验证请求。
建立访问协议, 网络架构师应内置用户行为分析( UBA ) ,可以使用多个变量作为基于数据的上下文线索,并使用 AI 进行学习,以便更好更快地判断可疑活动。这有助于避免系统设计中繁琐的规则,并将身份验证请求定位为目标访问工具,而不是默认访问工具。
UBA 的承诺可以通过在整个环境中分布计算来实现,利用日志设备、 NIC 、计算节点和存储节点来加速分析功能。有关更多信息,请参阅 NVIDIA Morpheus 网络安全 .
为了在出现漏洞时保护数据, 应构建系统 在整个数据中心结构中进行防御 ,而不是专注于周边。 网络体系结构通常侧重于防止恶意参与者离开网络,但这与“外围安全”相反限制网络内部的横向移动同样重要。
加密可以有所帮助,但更大的体系结构网络调整,以及仪器更改和添加应作为主要策略纳入。这种方法将导致在自动化安全系统中收集、分析和包含更多数量级的数据。
这些策略旨在根据企业的需要进行扩展和发展。利用现有基础设施进行大规模数据收集、分析和行动的前景听起来可能令人望而生畏。为了支持这项工作, NVIDIA 零信任网络安全平台 结合了三种技术 – NVIDIA BlueField DPU 、 NVIDIA DOCA 和 NVIDIA Morpheus 网络安全 AI 框架,使开发合作伙伴能够为数据中心带来新的安全级别。
总结
NVIDIA zero trust 平台带来了加速计算和深度学习的能力,可以持续监控和检测威胁,并将应用程序与基础架构隔离,以限制横向违规,速度比没有 NVIDIA 加速的服务器快 600 倍。有了这种基础设施、强大的数据管理和人工智能技术,下一代网络安全可以实现零信任的承诺。
要了解有关零信任的更多信息,请参加 反思零信任:一种基于人工智能的网络安全方法 网络研讨会,讨论我们的零信任平台如何帮助解决公共部门的网络安全问题。