网络怎么为零信任提供支持
发布时间:2022-07-06 15:40:54 所属栏目:安全 来源:互联网
导读:构建零信任架构通常要求对网络资源给予足够的访问权限,这样用户就可以完成他们的工作任务,网络本身也可以提供帮助。 简单地说,零信任要求验证每个试图访问网络的用户和设备,并实施严格的访问控制和身份管理措施,让授权用户只能访问他们工作所需的资源。
|
构建零信任架构通常要求对网络资源给予足够的访问权限,这样用户就可以完成他们的工作任务,网络本身也可以提供帮助。 简单地说,零信任要求验证每个试图访问网络的用户和设备,并实施严格的访问控制和身份管理措施,让授权用户只能访问他们工作所需的资源。 零信任作为一种架构有许多潜在的解决方案可供选择,但这只是适用于网络领域的一种解决方案。 第二层分段 另一种方法是第二层分段,通过设备和接入交换机之间的内联安全过滤将终端用户和他们的设备隔离开来。但是在每个用户和交换机之间安装防火墙的成本可能会非常昂贵。另一种方法是基于端口的网络访问控制,它基于身份验证或请求方证书授予访问权限并将每个节点分配给第三层虚拟局域网(VLAN)。 这些方法通常通过802.1x标准和可扩展认证协议在有线和无线接入网络上使用。然而,组织可能无法利用供应商的最终用户角色、身份验证凭据、设备配置文件和高级流量筛选等更全面的功能,并根据用户的可信度级别对其进行分段。 第三层分段 创建应用程序隔离区的常用方法包括将访问电缆和端口分离到第三层子网(VLAN)中,并执行内联过滤。过滤可以通过网络设备(例如路由器)执行,也可以通过对用户身份和角色有所了解的防火墙或代理服务器执行。一个典型的示例是标准的三层Web应用程序体系结构,其中Web服务器、应用程序服务器和数据库服务器位于不同的子网中。 可以采取网络切片的方法,这是一种软件定义网络的方法,网络在逻辑上被分成多个部分,类似于虚拟路由和转发场景。 当前主要的做法是为每台服务器分配自己的IPv4子网或IPv6/64前缀,并让它向网络路由器公布其子网。该服务器子网中的所有通信量都是该服务器的本地通信量,并且该主机内的虚拟网络上不会发生其他渗透。 将流量封装在IP网络顶部运行的覆盖隧道中也可以分隔网段,这可以通过多种方式实现。其中包括虚拟可扩展局域网、使用通用路由封装的网络虚拟化、通用网络虚拟化封装、无状态传输隧道和TCP分段卸载。 数据包标记(使用内部标识符标记数据包)可用于在接口之间建立信任关系,并根据其身份和授权隔离最终用户设备的数据包。组织可以在包括MPLS、802.1ad Q-in-Q、802.1AE MACsec和Cisco TrustSec在内的协议中添加标签。还有一种方法是分段路由,在IPv6包中使用一个特殊的路由报头来控制MPLS或IPv6网络上的通信路径。 美国国家标准技术研究院(NIST)的建议 美国国家标准与技术研究所(NIST)列举了零信任体系结构的逻辑组件,并提供了一些部署样式的定义。这包括基于策略决策点和策略实施点验证和验证用户。类似于云安全联盟最初构想的软件定义边界(SDP)。 许多零信任方法还包括终端用户节点上的软件代理以及X.509证书、相互TLS(mTLS)、单包认证(SPA)和多因素身份验证(MFA)。并非所有这些都可以完全由网络或服务器或安全管理员自己实现。为了实现一个健壮的零信任网络架构,这些技术可以通过与跨学科的IT团队的协作来实现。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号