免费热线:400-655-8606
当前位置:首页 >最新动态

利用五步法简化零信任实施

发布者:ITGO-IT购 时间:2019-09-11

利用五步法1.jpg

企业通常不愿实施零信任,因为他们认为零信任实施起来非常困难,不仅成本高昂,而且会产生干扰。在设计21世纪的零信任网络时,如果依然采用20世纪的设计模式可能会产生问题。但实际上,构建零信任网络比构建 20 世纪的传统层次结构网络要简单得多。因为将用户分类为“信任”和“不信任”,据此从外向内设计网络的方法已为我们大部分人所熟知,但是经证实,这种方法并不安全,所以我们需要努力调整设计思路,以便适应零信任方法。 然而,不必为了部署零信任而完全舍弃和替换现有的网络。由于每个零信任网络均以为特定范围提供保护而设,因此,零信任能够增强现有网络的安全性。零信任网络可以与您的现有网络互联,从而利用已有技术提供安全保障。此后,您便可逐步将旧有网络中的其他数据集、应用、资产或服务迁移到零信任网络中。这样一来,零信任网络的部署将更加易于管理、具有成本效益且不会产生干扰。 

利用五步法2.jpg

遵循五步法,轻松支持零信任网络的部署。本白皮书详细介绍了这五个步骤, 并重点讲解Palo Alto Networks如何提供对应于每个步骤的紧密集成平台,以此简化保护关键资产的流程。定义保护范围 

最初的五步法旨在定义需要保护的敏感数据,这些敏感数据构成了具体的保护范围。保护范围始终可知,并且远远小于攻击 范围。久而久之,我们便意识到零信任目前的保护能力显然是不够的,需要纳入更多网络元素来扩展现有数据,从而增强保 护能力。 在定义保护范围时,需要考虑所有关键数据、应用、资产和服务(DAAS)。其中应包括:

  • 数据:支付卡信息(PCI)、受保护的健康信息(PHI)、个人身份信息(PII)和知识产权(IP)

  • 应用:现成软件或自定义软件 

  • 资产 :SCADA 控件、销售点终端、医疗设备、制造业资产和物联网 (IoT)设备 

  • 服务:DNS、DHCP和Active Directory®

利用五步法2.jpg

Palo Alto Networks新一代防火墙可以提供7层全面的可视性,帮助您确定自己的DAAS配置,无论是物理防火墙还是虚拟防火墙都可以做到这一点。Palo Alto Networks 还与行业领先的第三方企业建立了广泛的合作伙伴关系,有助 于发现更多数据和资产。Cortex™ XDR检测功能和Palo Alto Networks响应功能利用网络、云和端点产品作为传感器,将数据传入 Cortex™ Data Lake,为用户、设备、应用和服务的活动提供可视性,以便深入了解整个企业环境中的每一个保护范围。 

映射事务流量

掌握系统的工作方式是正确设计网络的关键。对于保护范围内的数据,特定于这些数据的流量在网络中的移动方式决定了系统对这些流量应采取的保护方式。这一结论源自对网络内部事务流量的扫描和映射,系统可以依据此结论确定多种DAAS组件与网络中其他资源的交互方式。

即使没有完整的情况概览,系统也可以通过记录已知特定资源的交互方式来预测事务流量的交互方式,这种方法很常见。此信息还可以提供宝贵的数据,这样您就不会在完全不了解情况的前提下随意实施控制。零信任是基于流量的架构。如果您了解系统的工作原理,便可借助流量映射得知需要插入控件的位置。 

利用五步法4.jpg

零信任是一个迭代的过程,请牢记在心。先从已知的方面入手。当您逐步了解五步法的各个步骤后,便可收集其他有助于实 施更精细设计的信息。您不应仅因为没有全面掌握相关知识便推迟零信任计划的实施。 

Palo Alto Networks新一代防火墙为详细且深入分析流量提供了深度的应用层可视性。Policy Optimizer作为PAN-OS® 9.0软件版本的一部分提供,是新一代防火墙的一项功能,可以为应用提供深度可视性,帮助您确定规则迁移的优先级,识别允许未使用应用或过度配置应用的规则,并分析规则的使用特征。 此外,Cortex Data Lake可以通过新一代防火墙设备收集网络中的遥测数据;通过VM-Series新一代虚拟防火墙收集云数据;通过端点保护和响应代理Traps™收集端点数据。利用这些集中的数据,Cortex XDR可以进入Cortex Data Lake来验证已建立的交互,同时提供关于交互的详细信息,帮助改善通信的使用以及对流量的了解。

建立零信任网络架构 

通常,任何网络设计的第一步都是建立架构。每位用户都可以获得网络的“参考架构”,并 努力使之适用于自己的业务。在实施零信任的过程中,第三个步骤是建立网络架构。此外, 零信任网络属于定制网络,并非通用网络。在定义保护范围并映射流量后,零信任架构将变 得明显。 架构元素首先将新一代防火墙部署为分段网关,以便实施精密的7层访问策略作为保护范围周围的微边界。通过此架构,访问保护范围内部资源的所有数据包都将通过新一代防火墙的检测,从而实施7层防护策略,并对访问加以控制和检查。 零信任只与访问控制有关,这是对零信任的巨大误解,然而事实却是,最低特权的访问控制只是零信任的一个方面。另一方面是通过7层策略全程检验并记录每个数据包的情况,从而确定数据包是否安全。为此,系统将使用入侵防御系统(IPS)、沙盒、URL filtering、DNS Security和数据丢失防护(DLP)功能等多个集成安全服务来检验所有网络流量,以便发现恶意内容。 

利用五步法5.jpg

Palo Alto Networks新一代防火墙利用我们功能强大的App-ID™、User-ID™和 Content-ID™专有技术来定义权威的7层策略控制,防止保护范围遭到损害。由于这些分段网关以物理和虚拟形式提供,因此不论是在企业的物理数据中心内部还是外部,还是在私有云、公有云或混合云环境中,只要存在保护范围,都可以使用这种架构模型。 端点安全防护产品(如Trap)能够防止保护范围遭到已知和未知威胁的侵害,不论威胁来自恶意软件、无文件攻击还是漏 洞利用,都可以实现安全防护。安全访问产品(例如Palo Alto Networks GlobalProtect™ cloud service)将每个微边界的策略向下延伸到尝试访问保护范围内资源的各个端点中。 

Security Operating Platform®将使用所有核心Palo Alto Networks技术收集的遥测数据交付给Cortex Data Lake,通过Cortex XDR启用机器学习和自动化,从而改善后续部署阶段的策略。 如果没有重要的第三方产品,这个架构依然不完整。Palo Alto Networks与多家多重身份验证(MFA)提供商集成,增加UserID的精确度。为了完善并简化零信任架构,我们强大的API将提供与250多家第三方合作伙伴的深度集成,包括反垃圾邮件/反网络钓鱼技术、DLP系统、软件定义的广域网(SD-WAN)以及无线产品。

北方翱翔信息工程技术(北京)有限公司(简称:北方翱翔www.northsoar.com成立于2011年,是一家专注云计算、智网络、智安全领域的解决方案服务、产品销售服务和专业技术服务的一站式云IT服务企业。集合 思科代理  思科金牌代理 思科交换机总代理 华为代理。北方翱翔经营理念: 在追求全体员工物质和精神这两方面幸福的同时,为客户提供优质的服务,实现客户价值提升;提高企业价值,为社会的进步和发展做出贡献。
ITwww.360itgo.com是北方翱翔旗下一站式IT产品和服务B2B电商平台,商城产品包括云计算、云存储、云服务、云应用、网络设备、服务器、存储、虚拟化、安全产品、IT服务等,提供从咨询、采购、实施、运维到升级的全生命周期的一站式服务,IT购自建智能化仓储,现有自营库存超10000SKU,品类齐全、运转高效,确保能够完成当天99%的订单发货,凭借成熟的行业经验、独特的高增值专业服务和精细化的互联网电商运营模式,力求打造企业级IT服务的新标杆,给客户带来方便快捷,安全可靠的购买体验.


相关推荐