您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

零信任未来研究的八个领域

时间:2023-10-25 12:45:24  来源:微信公众号  作者:河南等级保护测评

2023年3月1日美国发布《国家网络安全战略》,拜登政府承诺通过实施零信任架构(ZTA)战略以及信息技术(IT)和运营技术(OT)基础设施的现代化来改善联邦网络安全。

美国卡内基梅隆大学对零信任进行了介绍,重点介绍了八个潜在的研究领域。

领域一:就一组普遍接受的基本 ZT 定义达成一致

根据NIST SP 800-207(零信任架构),ZT 访问决策是基于每个会话做出的。然而,“会话”一词有多种定义,2022年零信任行业日活动的小组成员强调了定义该术语和其他术语的重要性,包括每个会话、每个请求访问和每个请求日志记录。

iboss的小组成员Paul Martini将会话描述为 ZTA中的核心概念,通常指用户访问企业资源时的特定实例。

尽管NIST SP 800-207规定访问决策是基于每个会话做出的,但NIST还发布了CSWP 20,其中明确指出“‘会话’的单位可能是模糊的,并且根据工具、架构等的不同而有所不同。” NIST进一步将会话描述为“利用一种网络身份和该身份的一种权限(例如读、写、删除等)或什至单个操作(类似于 API 调用)与一种资源的连接”。然而,由于这个定义可能并不总是与现实世界的实现相对应,NIST 还更笼统地定义了会话:“在设定的时间段内通过具有设定权限的网络身份与资源的连接。”

这个更广泛的定义意味着定期需要重新身份验证和重新授权,以响应特权升级、超时或对现状的其他操作变化。类似地,其他概念(例如,按请求访问和按请求日志记录)也需要全面的定义。定义、标准化和强化这些概念将有助于巩固行业对 ZT 原则的整体理解,并描述它们在实践中的表现。

领域二:建立ZT共同观点

从操作的角度来看,组织可以从用于定义 ZT 组件之间的事件通信的既定开源标准中受益。组织还必须了解如何利用新的和现有的框架和标准来最大限度地提高 ZT 互操作性和效率。

使用通用协议可以实现ZT环境的各个组件之间更好的集成和通信。来自Appgate的小组成员Jason Garbis提出了此类协议的一个著名示例:OpenID基金会的共享信号和事件(SSE) 框架。该框架有助于标准化和简化不同组织和解决方案之间与用户相关的安全事件的通信。

另一个值得探索的领域是整个企业环境中使用的策略决策点 (PDP)和相关元素。现有的解决方案可以利用独特的工作流程来开发 PDP 的指令集或操作参数。对于与访问相关的决策,PDP 依赖于策略、日志、情报和机器学习 (ML)。然而,关于这些因素在实践中如何发挥作用以及应如何实施的讨论却很少。为了鼓励一致性和互操作性,安全组织可以为 PDP 功能开发标准化语言,类似于为网络威胁情报开发的STIX / TAXII2标准。

领域三:建立标准 ZT 成熟度级别

现有的 ZT 成熟度模型无法提供有效转向 ZT 所需的最小基线的精细控制或讨论。重要的是要考虑如何开发一个具有足够级别的成熟度模型,以帮助组织准确地确定他们必须做什么才能满足基本安全的 ZT 标准。

来自 Zscaler 的小组成员Jose Padin强调需要定义现实世界中 ZTA 所需的最低基线要求。建立 ZT 成熟度的技术要求标准至关重要,以便组织能够识别和审核其数字信任的进展。

Padin 在演讲中强调了CISA 零信任成熟度模型的一些优势,该模型的几个支柱描绘了 ZT 背景下的不同成熟度级别。[有关 CISA 零信任成熟度模型的高级视图,请参阅零信任成熟度模型的图 2(第 5 页) 。]

CISA 模型帮助组织可视化最佳实践及其相关的成熟度级别,但实现 ZT 的最低要求仍然存在相当大的不确定性。如果没有明确的比较标准,组织就无法评估其当前的 ZT 成熟度状态并选择最佳行动方案。

CISA零信任成熟度模型从传统到高级再到最佳,这可能无法提供对中间立场的足够细致的洞察,许多组织可能会发现自己处于 ZT 转型的过渡阶段。此外,虽然 CISA 的模型定义了决定每个成熟度级别的策略和技术,但关于这些概念如何在实践中发挥作用的技术讨论却很少。

有必要 (1) 解决 ZT 成熟度的分层问题,以及 (2) 为组织提供足够的参考材料和指导,以便他们了解自己目前所处的位置(即“现状”状态)以及需要走向何方(即他们的“未来”状态)。组织将受益于更多关于如何在其数字资产中实施 ZT 策略以实现合规性的信息,类似于最小可行产品的概念。

领域四:解释如何通过 ZT 成熟度级别取得进展

要成功进行 ZT 转型,请务必做到以下几点:

  • 了解组织必须采取的具体步骤。
  • 直接且有逻辑地陈述转变过程。
  • 确定组织如何实现数字信任。

在领域 3:建立上述标准 ZT 成熟度级别的基础上,安全领域的组织必须确定在某种程度上实施 ZT 所需的最低步骤,同时还要演示这些步骤在实践中的效果。一旦组织开始实施 ZT,它就可以努力实现更高水平的 ZT 成熟度,最终目标是实现数字信任。

根据信息系统审计与控制协会 (ISACA) 的说法,数字信任是指“对相关数字生态系统内供应商/供应商和客户/消费者之间的关系、互动和交易完整性的信心”。本质上,从网络安全的角度来看,ZT是实体之间交互的基础。数字信任更全面地涵盖内部和外部实体之间的所有交互。

实施 ZT 并实现数字信任需要政府和私营部门组织之间的强有力合作。政府和相关实体必须积极与私营部门组织合作,使模型、标准和框架与现实世界的产品和服务保持一致。

这种方法为最终用户提供了有关特定产品如何利用 ZT 策略来实现数字信任的有用信息。这些协作必须侧重于确定 (1) 安全产品可以做什么和不能做什么,以及 (2) 每个产品如何与其他产品集成以实现特定级别的合规性。这些信息使组织能够更快、更高效、更有效地采取行动。

领域五:确保ZT支持分布式架构

随着云解决方案和分布式技术(例如内容交付网络 [CDN])的日益普及,有必要开发安全框架来解决应用程序和数据从中心位置移至更靠近用户的情况。

在为 ZT 的未来开发框架和标准时,重要的是要考虑到异地数据存储正在向消费者靠拢,CDN 在现代 IT 基础设施中的普及就证明了这一点。

Zentera 的小组成员Michael Ichiriu建议研究人员考虑在新安全框架的背景下探索这个主题,因为许多现有框架在描述安全最佳实践时采用集中式数据中心/存储库方法。当面向 CDN 的组织开发和评估其安全状况和架构时,这种方法无法为他们提供服务。

领域六:建立 ZT 阈值以阻止威胁

在 ZT 环境中,了解有效隔离和阻止活动或恶意软件所需的最小信息量的构成非常重要。由于越来越多的勒索软件攻击使用自定义恶意软件,因此识别此信息至关重要。为了防御这种威胁,组织必须提高检测和阻止新威胁和适应威胁的能力。ZT 的一个重要方面是使用多种策略在攻击或恶意软件传播或造成损害之前检测和隔离它们。

正确实施的零信任架构不应信任未知的软件、更新或应用程序,并且必须快速有效地验证未知的软件、更新和应用程序。ZT可以使用多种方法(例如沙箱和隔离区)来测试和隔离新应用程序。然后,必须将这些结果输入 PDP,以便可以立即批准或拒绝未来对这些申请的请求。

领域七:集成ZT 和 DevSecOps

在开发过程中,使用尽可能多的安全接触点非常重要,尤其是与ZT相关的接触点。了解如何在组织的传统技术和新兴技术的开发流程中强调安全性也很重要。

这些考虑因素引导我们进入DevSecOps领域,它指的是“一组原则和实践,通过改善组织内软件开发团队、IT 运营和安全人员之间的协作和沟通,提供更快的安全软件功能交付,例如以及软件系统生命周期中的收购方、供应商和其他利益相关者。”

随着自动化变得越来越普遍,DevSecOps 必须考虑请求者自动化的可能性。ZTA 使用尝试相互通信的工作负载的身份来实施安全策略。这些身份不断得到验证;未经验证的工作负载将被阻止,因此无法与恶意远程命令和控制服务器或内部主机、用户、应用程序和数据进行交互。

在开发软件时,历史上每个人都假设人类会使用它。因此,在实施安全性时,默认的身份验证方法是在设计时考虑到人的因素的。然而,随着越来越多的设备自主地相互连接,软件必须能够使用 ZT 将数字信任集成到其架构中。为了启用 ZT 策略,DevSecOps 必须能够回答以下问题:

  • 自动请求是否来自受信任的设备?
  • 谁发起了导致自动化流程请求数据的操作?
  • 自动化流程是否启动了现在正在请求数据的辅助自动化流程?
  • 配置自动化流程的人员是否仍然可以访问他们的凭据?

领域八:设定 ZT 采用的业务期望

安全计划通常成本高昂,这导致组织将安全视为成本中心。识别 ZT 转换过程中的低效率(例如过时)非常重要。同样重要的是,组织了解如何使用 ZT 来最大化其投资回报。

ZT 是一种评估和管理组织数字资产风险的策略。ZT 方法将防御从网络边界转移到数字资产之间,并要求对所有访问请求进行会话身份验证。许多 ZT 策略可以通过合理的努力以较低的组织成本来实施。示例包括网络的微分段、静态数据加密以及使用多因素身份验证的用户身份验证。

然而,一些解决方案(例如云环境)需要漫长的过渡期并产生持续的成本。由于组织具有独特的风险承受能力,因此每个组织必须制定自己的 ZT 转型策略并指定初始阶段。每个策略和阶段都会有不同的成本和收益。

共享 ZT 讨论的平台

SEI 2022 年零信任行业日旨在将 ZT 领域的供应商聚集在一起,并提供一个共享的讨论平台。这种方法使参与者能够客观地展示他们的产品如何帮助组织进行 ZT 转型。讨论包括几个需要更多探索的领域。通过强调未来研究的这些领域,我们正在提高认识,促进公共和私营部门组织之间的合作以解决现实世界的问题,并加速 ZT 在政府和行业的采用。

对于我们来说,零信任还在路上。然而通过拿来主义,我们可以充分的了解零信任的优缺点,以便在我们采用零信任时,以更多正反馈来服务于我们的网络安全事业。



Tags:零信任   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
如何在零信任世界中实现API安全性?
随着传统网络边界的不断变化,零信任架构(Zero Trust architecture, ZTA)已经从一个讨论话题,转变为许多企业组织积极推进采用的切实计划。然而,在许多企业所制定的ZTA应用计划中,...【详细内容】
2023-11-17  Search: 零信任  点击:(165)  评论:(0)  加入收藏
零信任未来研究的八个领域
2023年3月1日美国发布《国家网络安全战略》,拜登政府承诺通过实施零信任架构(ZTA)战略以及信息技术(IT)和运营技术(OT)基础设施的现代化来改善联邦网络安全。美国卡内基梅隆大学对...【详细内容】
2023-10-25  Search: 零信任  点击:(202)  评论:(0)  加入收藏
零信任网络基础设施的五个关键步骤
在网络安全领域,“零信任”概念(即设备在默认情况下从不信任且始终经过验证)并不新鲜。 然而,随着不断发展的数字环境为日益增加的网络威胁创造了环境,零信任对于澳大利亚的组...【详细内容】
2023-10-13  Search: 零信任  点击:(360)  评论:(0)  加入收藏
为什么CISO需要将零信任作为应对勒索软件的强有力的策略
今年有望成为勒索软件攻击成本第二高的一年,威胁参与者依赖于新的欺骗性社交工程方法和武器化的AI。最近的米高梅泄密事件始于攻击者研究服务台员工的社交媒体个人资料,然后打...【详细内容】
2023-09-27  Search: 零信任  点击:(344)  评论:(0)  加入收藏
零信任时代的网络安全:mTLS的重要性
让我们深入探讨一下SSL、TLS和mTLS等一系列重要的通信安全协议。尽管从整体系统设计的角度来看,这个主题可能并不是至关重要,但仍然值得我们深入了解。1. SSL协议SSL,即安全套...【详细内容】
2023-09-20  Search: 零信任  点击:(303)  评论:(0)  加入收藏
零信任不仅仅关乎安全,还是数字化转型的基础
来自Zscaler的研究表明,“大多数IT领导者已经制定了零信任安全策略,或正在规划中”,但只有不到22%的人有信心充分利用它的潜力。该企业警告称,这表明企业需要“扩大他们的视角”...【详细内容】
2023-09-20  Search: 零信任  点击:(237)  评论:(0)  加入收藏
利用边缘计算克服零信任挑战
根据最近的数据显示,97%的企业表示已经开始实施零信任倡议,到2027年,全球零信任产品的价值将达到约600亿美元。很快,不接受零信任可能会导致竞争劣势,因为潜在客户可能只信任实施...【详细内容】
2023-07-28  Search: 零信任  点击:(164)  评论:(0)  加入收藏
零信任网络架构与实现技术的研究与思考
目前,国外已有较多有关零信任网络的研究与实践,包括谷歌的 BeyondCorp、BeyondProd,软件定义边界(Software Defined Perimeter,SDP) 及盖特提出的“持续自适应风险与信任评估”等...【详细内容】
2023-07-12  Search: 零信任  点击:(176)  评论:(0)  加入收藏
CISA零信任成熟模型2.0完整解读
2021年5月,拜登签署E.O. 14028“提高国家网络安全防御能力”,要求政府所有部门必须在60天内给出实现零信任架构的计划。为此,网络安全和基础设施安全局(CISA)在2021年9月发布了零...【详细内容】
2023-07-04  Search: 零信任  点击:(264)  评论:(0)  加入收藏
深度探讨:零信任已死?
零信任,作为近年来网络安全领域最为火热的技术之一,它的存在为组织网络架构和安全建设提供了新的思路和方向,“持续验证、永不信任”的零信任正在成为开拓新一代组织网络安全建...【详细内容】
2023-03-21  Search: 零信任  点击:(126)  评论:(0)  加入收藏
▌简易百科推荐
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(5)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(12)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(8)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(5)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(10)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(8)  评论:(0)  加入收藏
为什么都说 HashMap 是线程不安全的?
做Java开发的人,应该都用过 HashMap 这种集合。今天就和大家来聊聊,为什么 HashMap 是线程不安全的。1.HashMap 数据结构简单来说,HashMap 基于哈希表实现。它使用键的哈希码来...【详细内容】
2024-03-22  Java技术指北  微信公众号  Tags:HashMap   点击:(11)  评论:(0)  加入收藏
如何从头开始编写LoRA代码,这有一份教程
选自 lightning.ai作者:Sebastian Raschka机器之心编译编辑:陈萍作者表示:在各种有效的 LLM 微调方法中,LoRA 仍然是他的首选。LoRA(Low-Rank Adaptation)作为一种用于微调 LLM(大...【详细内容】
2024-03-21  机器之心Pro    Tags:LoRA   点击:(12)  评论:(0)  加入收藏
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  dbaplus社群    Tags:日志   点击:(4)  评论:(0)  加入收藏
Kubernetes 究竟有没有 LTS?
从一个有趣的问题引出很多人都在关注的 Kubernetes LTS 的问题。有趣的问题2019 年,一个名为 apiserver LoopbackClient Server cert expired after 1 year[1] 的 issue 中提...【详细内容】
2024-03-15  云原生散修  微信公众号  Tags:Kubernetes   点击:(6)  评论:(0)  加入收藏
站内最新
站内热门
站内头条