美国国家安全局 (NSA) 发布了一份网络安全信息表 (CSI),详细介绍了如何限制组织网络内的对抗性横向移动以访问敏感数据和关键系统。
零信任网络和环境支柱通过采用控制和功能,通过精细的策略限制在逻辑和物理上分段、隔离和控制访问(本地和外部),从而减少对抗性横向移动。它还加强了内部网络控制,并使用零信任原则遏制对网络分段部分的网络入侵。
CSI 题为“在整个网络和环境支柱中推进零信任成熟度”,概述了网络和环境支柱的关键功能,包括数据流映射、宏观和微观分段以及软件定义网络。NSA 正在协助国防部 (DoD) 客户试点零信任系统,并正在制定额外的零信任指南,以将零信任原则和设计纳入企业网络。
美国国家安全局网络安全总监罗布·乔伊斯(Rob Joyce)在一份媒体声明中表示:“各组织在运营时需要牢记威胁存在于其系统范围之内。” “本指南旨在为网络所有者和运营商提供所需的流程,以警惕地抵制、检测和响应利用其企业架构中的弱点或差距的威胁。”
该指导文件主要针对国家安全系统 (NSS)、国防部和国防工业基地 (DIB),对于可能成为复杂恶意行为者目标的其他系统的所有者和运营商也可能有用。它融合了国防部零信任战略、零信任参考架构和网络安全参考架构 (CSRA) 的指导。美国国家标准与技术研究院 (NIST) 和网络安全与基础设施安全局 (CISA) 还提供了针对其他系统所有者和运营商的额外指导。
“虽然网络是硬件和软件的连接,但 DoD CSRA 和 NIST SP 800-207 中定义的网络安全环境是包含所有网络组件、非个人实体和相互通信协议的数字生态系统,该文件已确定。“ZT 成熟度模型通过四个网络和环境支柱功能中每一个的几个关键功能提供了一个深度安全的网络:数据流映射、宏观分段、微观分段和软件定义网络。”
网络和环境通过分段的稳健架构为该模型提供服务,该架构必须从一开始就有意开发,并在整个环境的生命周期中进行维护和改进。除了安全的网络分段框架之外,零信任架构还通过对所有用户、设备和数据的强加密和持久验证来采用安全的网络流量管理。
自动化和编排取决于定义的流程和安全策略,以及根据需要动态隔离或修改网络分段的自适应网络功能。直观的分析可监控网络以及其他事件和活动中的可疑行为。如果应用得当,这些功能支持零信任架构,并有可能提高网络的安全性。
网络和环境支柱通过定义网络访问、控制网络和数据流、分段应用程序和工作负载以及使用端到端加密,将关键资源与未经授权的访问隔离开来。这是通过在宏观和微观层面上进行适当的网络分段,并结合软件定义网络 (SDN) 来实现的,以实现集中控制和自动化。该支柱取决于组织对其数据的认识和理解的深度——数据如何在独立网络内以及在互连物理基础设施、云计算和分布式工作环境的网络之间流动。
数据流映射可识别数据在组织内传输的路线,并描述数据如何从一个位置或应用程序转换到另一个位置或应用程序。此活动突出显示了存储或处理数据的内部和外部节点,从而可以发现任何数据滥用。
组织应利用数据所有者和网络团队的知识来形成全面的数据流图。该映射还可以识别数据未正确加密的数据流。如果数据在传输过程中未加密,数据发送方应尽可能启用端到端加密,或利用虚拟专用网络 (VPN)(或等效的加密隧道和协议)来保护传输中的数据。
宏分段通过将网络分解为多个离散组件(每个组件支持不同的安全要求),对组织网络各个区域之间移动的流量提供高级控制。换句话说,宏观细分可以被认为是公司内部子组织的分离。
转向微分段,该文件概述说,它通过将网络的一部分分解为更小的组件来提供粒度级别的安全性,以通过严格的访问策略限制数据的横向流动。微分段可以被认为是子组织内的网络分离;除非明确要求,同一部门的员工不应访问彼此的资源。这提供了更接近应用程序和资源的额外安全实施,增强了网络周边已经建立的策略。
SDN 通过微分段、适应性和集中策略管理在粒度方面提供了独特的优势。将 SDN 组件集成到现有基础设施中还可以实现可定制的安全监控和警报。
虽然微分段可以通过传统的系统组件和手动配置来实现,但 SDN 的集中式特性允许跨网络进行动态实施和管理。SDN 使集中控制服务器能够通过分布式转发平面控制数据包路由,提供额外的网络可见性,并实现统一策略实施。
为了使网络和环境能力更加成熟,组织应该根据使用模式和运营业务需求来映射数据流,并在宏观和微观层面上对网络进行适当的细分。对于集中控制和自动化任务分配,请在可行且可行的情况下使用 SDN,并自动化安全策略,以获得运营效率和敏捷性。他们还呼吁使用基于风险的方法来定义访问规则,其中包括确保恶意或未经授权的流量在到达外围、宏观和微观边界的网络资源之前被丢弃的机制。
NSA 正在积极协助 DoD 客户试点 ZT 系统,与现有 NSS 和 DoD 计划协调活动,并制定额外的 ZT 指南,以支持系统开发人员应对在 NSS、DoD 和 DIB 环境中集成 ZT 的挑战。即将发布的指南将有助于组织、指导和简化将 ZT 原则和设计纳入企业网络的过程。
去年 10 月,NSA与CISA 和行业合作伙伴合作发布了一份网络安全技术报告 (CTR)。NSA-CISA 文档为多重身份验证 (MFA) 和单点登录 (SSO) 技术的开发人员和供应商提供身份和访问管理 (IAM)指导,并提供可操作的建议,以应对其产品中的关键挑战。
发表评论
您还未登录,请先登录。
登录