什么是零信任?
如果您是推出零信任架構(gòu)的公司的 IT 專業(yè)人員,您可能非常了解零信任在您的世界中意味著什么。從更廣泛的角度來(lái)看,以下是需要考慮的兩個(gè)主要概念:
零信任:一種網(wǎng)絡(luò)安全范式,從不隱含授予信任
零信任架構(gòu):企業(yè)資源和數(shù)據(jù)安全的端到端方法
零信任的座右銘是“永不信任,始終驗(yàn)證”。這幾乎可以總結(jié)它。
如果您的組織正在推出零信任,則可能會(huì)從用戶的身份和訪問(wèn)管理 (IAM) 開(kāi)始。從那里,它轉(zhuǎn)移到連接到網(wǎng)絡(luò)的設(shè)備,然后通過(guò)實(shí)施微分段等策略轉(zhuǎn)移到網(wǎng)絡(luò)本身,然后轉(zhuǎn)向自動(dòng)化和分析。這些被稱為零信任模型的“支柱”。
零信任體系結(jié)構(gòu)是從基于邊界的安全模型遷移到網(wǎng)絡(luò)上的每個(gè)人和設(shè)備都經(jīng)過(guò)端到端身份驗(yàn)證和授權(quán)的安全模型。如果您的公司已經(jīng)走上了這條道路,這不是新聞。不過(guò),可能是新聞的是可信時(shí)間?在零信任網(wǎng)絡(luò)中發(fā)揮的關(guān)鍵作用。讓我們首先從為什么時(shí)間很重要開(kāi)始。
為什么時(shí)間很重要
在管理網(wǎng)絡(luò)時(shí),全網(wǎng)時(shí)間同步的準(zhǔn)確性及其在網(wǎng)絡(luò)管理和安全中扮演的重要作用通常被認(rèn)為是理所當(dāng)然的。如果您不相信,想象一下如果每個(gè)網(wǎng)絡(luò)設(shè)備都有不同的時(shí)間會(huì)發(fā)生什么。整個(gè)網(wǎng)絡(luò)將爆發(fā)混亂。日志文件和網(wǎng)絡(luò)遙測(cè)將毫無(wú)用處。日志和遙測(cè)時(shí)間戳不會(huì)關(guān)聯(lián)。例如,實(shí)時(shí)接收但回溯到前一周的系統(tǒng)日志將無(wú)濟(jì)于事。儀表板會(huì)出錯(cuò),或者至少顯示不正確的數(shù)據(jù),并且很可能會(huì)觸發(fā)警報(bào)。關(guān)鍵進(jìn)程要么開(kāi)始得太早,要么開(kāi)始得太晚。網(wǎng)絡(luò)取證幾乎是不可能的,審計(jì)將毫無(wú)意義,視頻時(shí)間戳將不正確。說(shuō)夠了。如您所見(jiàn),整個(gè)公司網(wǎng)絡(luò)的時(shí)間準(zhǔn)確性很重要,而且確實(shí)很重要。
由于時(shí)間非常重要,因此需要考慮網(wǎng)絡(luò)時(shí)間同步的時(shí)間來(lái)源的“什么,誰(shuí),何地和何時(shí)”。提供網(wǎng)絡(luò)時(shí)間協(xié)議 (NTP) 時(shí)間戳的時(shí)間服務(wù)器是“什么”。如果“誰(shuí)”和“哪里”只是來(lái)自互聯(lián)網(wǎng)或互聯(lián)網(wǎng)NTP服務(wù)器池的時(shí)間服務(wù)器的IP地址,那么您需要考慮接收的NTP時(shí)間戳的“時(shí)間”的有效性和脆弱性。不過(guò),這是另一篇博客文章的主題,因?yàn)閬?lái)自互聯(lián)網(wǎng)的空閑時(shí)間幾乎違反了零信任的所有原則,不能被視為可信時(shí)間。
什么是可信時(shí)間??
假設(shè)網(wǎng)絡(luò)中有一個(gè) NTP 網(wǎng)絡(luò)時(shí)間服務(wù)器,零信任會(huì)引發(fā)兩個(gè)關(guān)鍵問(wèn)題。時(shí)間是隱式還是顯式信任?時(shí)間服務(wù)器本身作為連接到網(wǎng)絡(luò)的設(shè)備,是否與零信任網(wǎng)絡(luò)技術(shù)兼容?
可信時(shí)間意味著時(shí)間服務(wù)器在時(shí)間的準(zhǔn)確性和合法性方面是可信的。這也意味著它作為連接到網(wǎng)絡(luò)的設(shè)備受到信任,并且符合公司的安全要求。
網(wǎng)絡(luò)安全團(tuán)隊(duì)對(duì)時(shí)間服務(wù)器的安全功能更感興趣,而不是驗(yàn)證和驗(yàn)證時(shí)間戳的準(zhǔn)確性或帶寬。由于我們的 SyncServer? S600/S650 網(wǎng)絡(luò)時(shí)間服務(wù)器提供無(wú)與倫比的計(jì)時(shí)性能,讓我們討論一下它們的安全屬性。
作為目前可用的最安全的可信時(shí)間網(wǎng)絡(luò)設(shè)備,SyncServer 時(shí)間服務(wù)器符合零信任模型的基本支柱,包括用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和分析。
以下信息圖是 NIST 特別出版物 800-207:零信任體系結(jié)構(gòu)中概述的核心組件的簡(jiǎn)化表示。它演示了這些支柱如何與 NIST 數(shù)據(jù)平面和控制平面相關(guān)。
例如,讓我們討論如何允許數(shù)據(jù)平面中的管理員(用戶支柱)訪問(wèn) SyncServer S600 服務(wù)器的 Web GUI。第一步是使用控制平面中的 X.509/PKI 基礎(chǔ)結(jié)構(gòu)(設(shè)備支柱)向?yàn)g覽器驗(yàn)證 S600 服務(wù)器。服務(wù)器通過(guò)身份驗(yàn)證后,管理員通過(guò) RADIUS/TACACS+/LDAP 提交憑據(jù),以便使用控制平面中的 ID 管理系統(tǒng)進(jìn)行用戶身份驗(yàn)證。如果授權(quán)訪問(wèn),則授予用戶訪問(wèn) S600 服務(wù)器的 Web GUI 的權(quán)限。
有許多方案可以使用SyncServer時(shí)間服務(wù)器在零信任體系結(jié)構(gòu)中實(shí)現(xiàn)可信時(shí)間。我們已經(jīng)為其中許多場(chǎng)景創(chuàng)建了信息圖表。在每個(gè)圖形中,突出顯示了SyncServer時(shí)間服務(wù)器中的安全技術(shù)和相關(guān)的零信任支柱,以便于參考。查看這些信息圖表。
如果您的公司正在向零信任架構(gòu)邁進(jìn),請(qǐng)利用我們的應(yīng)用說(shuō)明,該說(shuō)明解釋了為什么可信時(shí)間在零信任網(wǎng)絡(luò)中如此重要。這個(gè)簡(jiǎn)短的文檔解釋了SyncServer S600 / S650時(shí)間服務(wù)器如何確保時(shí)間及其來(lái)源的安全性,并符合零信任原則。它包括 S600/S650 服務(wù)器安全功能的詳細(xì)列表,以及它們?nèi)绾闻c零信任模型的支柱保持一致。您的安全團(tuán)隊(duì)可以使用此有用的檢查列表來(lái)確定時(shí)間服務(wù)器是否符合您的網(wǎng)絡(luò)安全要求。
作為最安全的可信時(shí)間網(wǎng)絡(luò)設(shè)備,SyncServer? S600時(shí)間服務(wù)器非常適合支持零信任計(jì)劃。它確保了時(shí)間及其來(lái)源的安全性,并符合零信任的基本支柱。
審核編輯:郭婷
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
8849瀏覽量
84952 -
網(wǎng)絡(luò)管理
+關(guān)注
關(guān)注
0文章
116瀏覽量
27632
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論