企業(yè)在試圖保護(hù)其數(shù)據(jù)和存儲(chǔ)系統(tǒng)時(shí)面臨越來(lái)越多的挑戰(zhàn)。然而��,零信任存儲(chǔ)策略采用了一種“不相信任何人”的安全方法,這種方法認(rèn)識(shí)到當(dāng)今數(shù)據(jù)邊界的流動(dòng)性��。
敏感數(shù)據(jù)不再局限于專(zhuān)用網(wǎng)絡(luò)�,可能存在于多個(gè)位置���,就像勞動(dòng)力的工作日益分散一樣。IT團(tuán)隊(duì)還面臨著越來(lái)越多的規(guī)定如何存儲(chǔ)和保護(hù)數(shù)據(jù)的法規(guī)��,這進(jìn)一步使數(shù)據(jù)管理復(fù)雜化��。傳統(tǒng)的網(wǎng)絡(luò)安全方法已經(jīng)不能滿(mǎn)足當(dāng)今的許多數(shù)據(jù)保護(hù)需求���。
在零信任模型中���,在進(jìn)行敏感資源適當(dāng)驗(yàn)證之前����,所有用戶(hù)和設(shè)備都禁止訪問(wèn)。盡管這種方法可以幫助更好地保護(hù)數(shù)據(jù)�����,但是實(shí)現(xiàn)零信任存儲(chǔ)策略需要大量的工作���。IT團(tuán)隊(duì)為這樣的任務(wù)準(zhǔn)備得越充分���,就越有可能部署一個(gè)有效的系統(tǒng)來(lái)保護(hù)數(shù)據(jù)���。
(相關(guān)資料圖)
零信任存儲(chǔ)策略需要什么?
保護(hù)敏感資源的傳統(tǒng)方法是基于在IT基礎(chǔ)設(shè)施周?chē)⒁粋€(gè)強(qiáng)大的邊界?;谶吔绲哪P褪褂梅阑饓推渌W(wǎng)絡(luò)安全技術(shù)來(lái)創(chuàng)建一個(gè)城堡和護(hù)城河結(jié)構(gòu),將信任擴(kuò)展到該邊界內(nèi)的所有用戶(hù)和設(shè)備�。盡管基于外圍邊界的安全在過(guò)去運(yùn)行良好,但基于云的服務(wù)����、遠(yuǎn)程工作人員、BYOD計(jì)劃����、邊緣計(jì)算和物聯(lián)網(wǎng)設(shè)備的持續(xù)擴(kuò)散,已經(jīng)為敏感數(shù)據(jù)帶來(lái)了一系列新的風(fēng)險(xiǎn)�����。僅保護(hù)外圍邊界已經(jīng)不足以應(yīng)對(duì)當(dāng)今日益增多的復(fù)雜網(wǎng)絡(luò)威脅��。
零信任安全限制和控制對(duì)數(shù)據(jù)�、存儲(chǔ)系統(tǒng)和其他資源的訪問(wèn)。零信任模型假設(shè)����,在用戶(hù)�、設(shè)備��、服務(wù)或其他系統(tǒng)首次連接到網(wǎng)絡(luò)并在多個(gè)點(diǎn)上進(jìn)行驗(yàn)證之前���,任何用戶(hù)����、設(shè)備或其他系統(tǒng)都不能被信任�。該模型始終使用微分段、系統(tǒng)監(jiān)控�����、身份和訪問(wèn)管理等工具�����,以及定義對(duì)存儲(chǔ)����、數(shù)據(jù)和其他資源的細(xì)粒度控制的全面安全策略��,對(duì)所有資源保持嚴(yán)格的訪問(wèn)控制�。
近年來(lái)���,由于數(shù)據(jù)威脅的增加,零信任方法獲得了穩(wěn)定的發(fā)展勢(shì)頭���。2018年��,調(diào)研機(jī)構(gòu)Forrester公司推出了零信任擴(kuò)展生態(tài)系統(tǒng)及其七個(gè)核心支柱�,以實(shí)現(xiàn)有效的零信任平臺(tái)����。同年,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院為實(shí)現(xiàn)零信任平臺(tái)的核心組件提供了廣泛的指南���。最近��,美國(guó)聯(lián)邦政府機(jī)構(gòu)已經(jīng)采取措施在國(guó)家層面實(shí)施零信任安全���。
零信任平臺(tái)控制著對(duì)企業(yè)所有數(shù)據(jù)的訪問(wèn),無(wú)論是靜態(tài)數(shù)據(jù)還是動(dòng)態(tài)數(shù)據(jù)����。該平臺(tái)還保護(hù)與維護(hù)這些系統(tǒng)相關(guān)的通信和數(shù)據(jù)。網(wǎng)絡(luò)中的任何一個(gè)點(diǎn)都可能代表一個(gè)潛在的漏洞�。一個(gè)漏洞可能會(huì)影響這個(gè)點(diǎn)以及其他網(wǎng)絡(luò)資源��,包括存儲(chǔ)系統(tǒng)及其數(shù)據(jù)���。出于這個(gè)原因,零信任計(jì)劃必須是整個(gè)網(wǎng)絡(luò)范圍的工作���,它將存儲(chǔ)與所有其他資源結(jié)合在一起�。
實(shí)現(xiàn)零信任存儲(chǔ)的最佳實(shí)踐
IT團(tuán)隊(duì)必須謹(jǐn)慎執(zhí)行零信任存儲(chǔ)策略�����,以下是實(shí)現(xiàn)這個(gè)策略時(shí)需要記住的8個(gè)最佳實(shí)踐�����。
(1)繪制出敏感數(shù)據(jù)當(dāng)前駐留的位置及其流動(dòng)方式
識(shí)別整個(gè)保護(hù)面�����,需要保護(hù)防范網(wǎng)絡(luò)攻擊的關(guān)鍵數(shù)據(jù)和系統(tǒng)以及這些系統(tǒng)的入口點(diǎn)�����。這些信息還應(yīng)該包括管理員�����、應(yīng)用程序和設(shè)備之間的通信通道��。
對(duì)所有數(shù)據(jù)進(jìn)行編目����,包括數(shù)據(jù)的位置和存儲(chǔ)方式。最后采用一張全面的地圖顯示所有事物的位置以及它們之間的聯(lián)系��。
(2)評(píng)估當(dāng)前存儲(chǔ)和數(shù)據(jù)安全性
確定適當(dāng)?shù)拇鎯?chǔ)保護(hù)以及企業(yè)如何對(duì)每個(gè)組件應(yīng)用安全性��。識(shí)別各種攻擊面和頂級(jí)漏洞��。實(shí)施一些清理工作(例如刪除舊的或未使用的賬戶(hù))并應(yīng)對(duì)直接的網(wǎng)絡(luò)威脅��,直到零信任平臺(tái)完全投入運(yùn)行��。
作為評(píng)估的一部分���,確定哪些用戶(hù)或帳戶(hù)當(dāng)前被授權(quán)訪問(wèn)資源及其訪問(wèn)級(jí)別����。確定他們連接到資源的端點(diǎn),何時(shí)訪問(wèn)這些資源以及訪問(wèn)這些資源的頻率�����。仔細(xì)記錄所有發(fā)現(xiàn)�,以便快速參考和理解訪問(wèn)模式。
(3)驗(yàn)證和識(shí)別所有與存儲(chǔ)相關(guān)的設(shè)備和服務(wù)
IT團(tuán)隊(duì)?wèi)?yīng)該了解存儲(chǔ)硬件的類(lèi)型��、存儲(chǔ)類(lèi)型��、軟件和固件的類(lèi)型和版本�,以及存儲(chǔ)網(wǎng)絡(luò)的詳細(xì)信息。
IT團(tuán)隊(duì)?wèi)?yīng)該能夠驗(yàn)證所有連接到其網(wǎng)絡(luò)的設(shè)備����。如果沒(méi)有能夠?qū)W(wǎng)絡(luò)資源進(jìn)行身份驗(yàn)證、授權(quán)和驗(yàn)證的適當(dāng)標(biāo)識(shí)��,任何系統(tǒng)都不應(yīng)該能夠訪問(wèn)網(wǎng)絡(luò)資源�����。企業(yè)團(tuán)隊(duì)?wèi)?yīng)該為每個(gè)設(shè)備附加一個(gè)強(qiáng)大的身份�,并確保它只有一個(gè)身份,而不是多個(gè)身份���,他們還應(yīng)該確保每個(gè)設(shè)備滿(mǎn)足其企業(yè)的特定安全要求��。
(4)規(guī)劃和實(shí)施網(wǎng)絡(luò)分段
保護(hù)網(wǎng)絡(luò)的最有用的工具之一是微分段�����,它將網(wǎng)絡(luò)劃分為控制對(duì)數(shù)據(jù)和資源訪問(wèn)的邏輯組件�。微分段減少了直接的網(wǎng)絡(luò)攻擊面�����,并防止了通過(guò)網(wǎng)絡(luò)的橫向移動(dòng)��,這有助于遏制任何數(shù)據(jù)泄露���。IT管理員經(jīng)常在下一代防火墻中使用微分段���,這些防火墻包括入侵防御和深度包檢測(cè)等高級(jí)功能。
即使使用了微分段�����,IT團(tuán)隊(duì)也應(yīng)該采用零信任策略����,將每個(gè)渠道都視為潛在威脅�,直到事實(shí)證明并非如此��。它們永遠(yuǎn)不應(yīng)該假設(shè)同一網(wǎng)絡(luò)上或彼此物理接近的兩個(gè)實(shí)體之間存在隱含的信任����。此外,他們應(yīng)該保護(hù)資源之間的所有通信���,以防止竊聽(tīng)并確保這些通信的完整性�����。IT團(tuán)隊(duì)還可以使用軟件定義的邊界��,通過(guò)在資源周?chē)纬商摂M邊界來(lái)控制對(duì)資源的訪問(wèn)���。
(5)制定并實(shí)施細(xì)粒度的零信任策略
零信任存儲(chǔ)策略的核心是一組策略,這些策略授予用戶(hù)對(duì)特定資源的訪問(wèn)權(quán)限���,同時(shí)禁止所有其他訪問(wèn)���。零信任安全策略應(yīng)該適用于每個(gè)人����,無(wú)論他們?cè)谄髽I(yè)中的地位如何�����,或者他們是否被認(rèn)為是資源的所有者�����。除了管理員明確授予的權(quán)限之外�,用戶(hù)不應(yīng)該能夠訪問(wèn)任何其他資源���。
基于最小權(quán)限原則的基本權(quán)限�����,訪問(wèn)僅限于必要的內(nèi)容�����,并且只在需要時(shí)訪問(wèn)����。管理員應(yīng)該在會(huì)話結(jié)束后立即撤銷(xiāo)訪問(wèn)權(quán)限。為了執(zhí)行這些策略��,開(kāi)發(fā)一個(gè)框架來(lái)管理它們����,并在每個(gè)入口點(diǎn)應(yīng)用它們??蚣芙M件應(yīng)該通過(guò)單獨(dú)的控制平臺(tái)進(jìn)行通信,以促進(jìn)安全通信���。
(6)對(duì)存儲(chǔ)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行監(jiān)控和審計(jì)
監(jiān)視和審計(jì)策略應(yīng)該能夠跟蹤存儲(chǔ)資源����,無(wú)論是在內(nèi)部部署����、云平臺(tái)還是在其他環(huán)境中。單獨(dú)評(píng)估設(shè)備和服務(wù)�����,將它們相互作用的方式聯(lián)系起來(lái)�,并關(guān)注諸如數(shù)據(jù)用戶(hù)訪問(wèn)或他們執(zhí)行的操作等細(xì)節(jié)。
IT團(tuán)隊(duì)?wèi)?yīng)該設(shè)置警報(bào)��,這樣他們就可以立即收到任何可疑活動(dòng)的通知。他們應(yīng)該維護(hù)活動(dòng)日志�,并持續(xù)分析收集到的信息,以確定哪些是有效的����,哪些需要改進(jìn)��,哪些可能存在安全漏洞��,以及是否存在任何異常行為�����。IT團(tuán)隊(duì)?wèi)?yīng)該自動(dòng)化監(jiān)控和審計(jì)操作����,特別是在實(shí)時(shí)響應(yīng)威脅時(shí)。這些團(tuán)隊(duì)還應(yīng)該進(jìn)行滲透測(cè)試�,并及時(shí)掌握威脅情報(bào)。
(7)不要相信本地網(wǎng)絡(luò)
在本地網(wǎng)絡(luò)上�����,部署基本的安全措施�����,加強(qiáng)更大的零信任努力,并為存儲(chǔ)和數(shù)據(jù)提供額外的保護(hù)���。例如��,加密所有靜態(tài)和動(dòng)態(tài)數(shù)據(jù)��。
IT部門(mén)應(yīng)使用多因素身份驗(yàn)證�、單點(diǎn)登錄和IAM等工具��,進(jìn)一步提高安全性����。零信任存儲(chǔ)策略應(yīng)該包括一個(gè)備份和恢復(fù)平臺(tái),該平臺(tái)集成了與其他資源相同的保護(hù)措施�����。備份數(shù)據(jù)的至少一個(gè)副本應(yīng)該是不可變的和氣隙的����,以防止可能的篡改。企業(yè)還應(yīng)該考慮其他步驟來(lái)防止數(shù)據(jù)丟失,例如應(yīng)用程序允許列表和物理保護(hù)設(shè)備免受潛在威脅攻擊��。
(8)不要忘記最終用戶(hù)
最終用戶(hù)在有效的零信任存儲(chǔ)策略的成敗中起著至關(guān)重要的作用����。IT團(tuán)隊(duì)?wèi)?yīng)該解釋他們?yōu)槭裁葱枰獙?shí)施該策略及其潛在影響。這不僅能讓他們更好地為不可避免的變化做好準(zhǔn)備����,而且還提供了一個(gè)機(jī)會(huì),讓他們了解潛在的安全風(fēng)險(xiǎn)�,以及如何幫助保護(hù)數(shù)據(jù)。
最終用戶(hù)訪問(wèn)數(shù)據(jù)�、存儲(chǔ)系統(tǒng)和其他網(wǎng)絡(luò)資源的體驗(yàn)是關(guān)鍵���。如果用戶(hù)在嘗試執(zhí)行任務(wù)時(shí)面對(duì)大量的多因素身份驗(yàn)證步驟�,他們就會(huì)變得越來(lái)越沮喪���,可能會(huì)達(dá)到幾乎不看提示或通知的程度�。用戶(hù)與安全系統(tǒng)的交互應(yīng)該盡可能簡(jiǎn)化和直接��,而不會(huì)使他們的工作變得更加困難����。
關(guān)鍵詞:
