来自 防护 2021-04-08 00:18 的文章

高防ip阿里_国内_苏州纸牌防御

高防ip阿里_国内_苏州纸牌防御

2019年9月,NIST(国家标准与技术研究所)发布了其零信任体系结构(ZTA)的初稿,供公众反馈。第二份草案于2020年2月发布,高防cdn_504错误什么意思,其中纳入了第一个周期的行业反馈,并征求了更多的意见。该文档写得非常好,我强烈建议所有安全和业务连续性从业者在这里阅读。向零信任架构的转变正在稳步进行。NIST、Gartner和Forrester都建议将零信任作为安全设计原则,尤其是在资源的供应和安全访问方面。NIST ZTA认识到现代数字化企业的现实——应用程序和用户已经离开大楼。如今,cc防御去掉,越来越多的员工和承包商远程访问公司应用程序,这些应用程序本身可能位于任何地方。传统的基于外围设备的安全方法依赖于在隐含的信任区域(即企业网络)内运行的大多数员工和应用程序。NIST ZTA的工作假设是,每个访问请求,无论是来自企业网络内部还是来自外部,都是敌对的。这一设计原则在日益数字化的世界里运作得更好。NIST ZTA就组织如何在新的数字现实中保护其资源提供了非常详细的建议。在当前企业业务连续性计划主要侧重于安全地实现远程访问用例的环境中,这些建议非常及时。(注:该NIST ZTA框架目前处于起草阶段,可能会在最终版本中更改。我们的意见基于2020年2月出版的第二稿)这两条来自NIST文件的引述很好地概括了零信任:零信任(ZT)是一组不断发展的网络安全模式的术语,ddos防御能放cc吗,它将网络防御从静态的、基于网络的边界转移到关注用户、资产和资源上。基于边界的网络安全也被证明是不够的,因为一旦攻击者突破了外围,进一步的横向移动就不会受到阻碍。基于外围设备的网络安全控制是不够的,因为它们的设计目的是提供对网络段的访问,而不是对应用程序或资源的访问。这将使企业面临超出可接受范围的风险。此外,攻击者还积极利用基于外围设备的通用安全设备中的漏洞来危害企业环境(正如美国国家安全局和NIST在其公告中所指出的那样)。ZTA之所以不同,是因为它增加了在按资源授予访问权限之前对身份验证和授权的关注,以及通过设计降低风险面。增强的身份管理是实现这些目标的方法之一。图1概述了NIST的零信任访问抽象模型:在这个模型中,用户向策略引擎(PDP,PEP)进行身份验证,该引擎对身份验证和授权做出决策。访问决策背后的逻辑应该基于用户的身份属性、行为、设备安全态势和外部威胁情报数据等。在用户访问请求中没有隐含的信任——信任是为了做出资源访问决策而不断评估的。ZTA基础设施应保护资源不被攻击者发现,从而显著降低风险面。其思想是通过将策略执行点移近应用程序来最大限度地减少隐式信任区域。与基于外围设备的安全模型(有效地提供对某个网络段的访问)不同,ZTA专注于"最小权限"访问模型。这意味着访问决策和相关的安全策略是在应用程序级别而不是网络级别强制执行的。因此,该模型为混合环境提供了更好的支持,在这种环境中,防御攻击cc,企业将在本地和公共云中部署应用程序。采用NIST ZTA对业务连续性工作有何帮助?零信任体系结构基于"无内部"的原则。该体系结构的设计使得它对来自企业网络内部的访问请求和来自外部的访问请求进行相同级别的审查。这种体系结构原则非常适合于业务连续性场景,即组织必须在非常短的时间内实现大规模的"在家工作"场景。NIST ZTA草案中的这段话对ZTA的这一维度提供了一些见解:ZTA使许多COOP(操作连续性)因素变得更容易,因为远程工作者可能具有与他们在本地拥有的相同的资源访问权限。然而,并非所有的ZTA实现都是平等的。CISOs应该确保他们的ZTA实现能够快速扩展而不影响应用程序的性能。参与者的策略和策略对其恶意攻击的弹性也是至关重要的。这可以通过屏蔽应用程序本身不被外部发现,以及在PDP/PEP基础设施中构建DDoS保护来实现。NIST认识到ZTA基础设施的可扩展性和弹性是评估的关键标准。组织如何着手采用零信任体系结构来改进业务连续性?NIST清楚地认识到,向ZTA过渡是一个过程:向ZTA的过渡是一个组织如何评估其任务中的风险的过程,cc防御华为,不能简单地通过大规模替换技术来完成。这个旅程有两个维度:即时和长期。在近期内,考虑到当前全球推动远程工作和业务连续性的趋势,企业正在寻求快速推出远程工作安排。选择的ZTA实现应该允许这种快速部署,同时改善企业安全态势和用户体验。从中长期来看,企业应做好准备,在一个混合环境中运营,该环境包括传统的基于周边的方法(如VPN)和较新的ZTA概念(如NIST在其出版物中所述)。CISO应该时刻关注候选应用程序迁移到ZTA——NIST认识到迁移到ZTA将一次完成一个业务流程。早期转移到ZTA的强有力的候选者包括第三方/合作伙伴应用程序和云托管应用程序。Akamai如何提供帮助?Akamai走向ZTA的内部之旅始于大约三年前。有关Akamai在ZTA之旅中获得的重要经验的更多详细信息,请访问此处。我们内部用于零信任体系结构的相同技术也可以通过一种称为企业应用程序访问(EAA)的基于云的服务的形式提供给我们的客户。全球多家企业正在将EAA作为ZTA迁移的战略平台,并在当前环境下实现快速的业务连续性能力。我们认识到,由于不断变化的全球形势,今天的大多数组织需要快速实现在家工作(WFH)安排。Akamai为企业提供了一个60天的免费应用程序,以帮助企业管理WFH的使用需求。在这里了解我们的业务连续性访问计划的更多信息。将此共享按钮添加到facebook facebookshare到TwitterTwitterShare到linkedinshare到DiggDiggShare复制LinkCopy LinkShare到EmailEmail