網絡微分段與 IAM 如何保護信息安全

自從信息安全出現以來,信任是一個關鍵因素。
隨著時間的推移,隨著信息技術變得更加分散,
信任的概念已經圍繞誰在邏輯上需要能夠訪問服務而演變。
例如,如果您想進入您的公司網絡,
那麼您需要擁有唯一的用戶名和密碼才能查看公司信息源和私人文檔。
此外,防火牆用於防止外來者和其他潛在威脅進入這些區域。

然而,僅使用用戶名和密碼才能訪問此類公司信息,
對於那些需要被允許通過 Internet 訪問特定公司資源的人員(例如現場工程師)來說會帶來問題。
因此,創建了VPN以提供可信的通信隧道,
可以安全地授予對由 IT 部門控制的企業數據的特定端口的訪問權限。

有時候用戶名、VPN 和防火牆的這種組合足以在組織的員工和外部參與者
網絡中創建高級別的安全性。
然而,在過去十年中,隨著移動計算的爆炸式增長,這種情況發生了巨大變化。
從使用顯示器到個人筆記本電腦以及我們的設備(如手機和平板電腦)
的轉變已被證明是 IT 部門面臨的重大挑戰。
他們不再能夠通過僅允許通過公司發行的電腦訪問公司數據來發號施令。

更重要的是個人設備的這種巨大增長還伴隨著雲計算和雲應用程序的採用,
例如 Salesforce、Office 365 和 DropBox。
這意味著共享敏感數據的方式也呈指數級增長。
在與其他公司合作的項目中,共享文件已變得司空見慣,
即使對於新營銷發布等敏感計劃也是如此。
因此,IT 部門經常阻止任何未經批准的應用程序或來自非託管設備的流量。
但是,這樣做的成本過高,並且可能會抑制勞動力內部的創新,
從而迫使員工使用可能已經過時的程序和設備來阻止遠程工作。
正是由於這些原因,用於保護企業信息的基於信任的系統正在變得過時。

雖然從外部入侵公司網絡系統需要一定程度的技能才能突破防火牆和 VPN,
但訪問敏感公司數據的更簡單方法是通過有權訪問此類數據的員工。
一種這樣的方法是通過網絡釣魚攻擊——假裝是一個受信任的系統來欺
騙員工提供他們的用戶名和密碼。
一旦進入,黑客就可以進入可信區域並獲取敏感數據或觸發其他惡意攻擊。

正是這種對內部威脅的認識創造了“零信任”一詞。
這種心態很簡單——任何試圖訪問機密數據的用戶或設備在默認情況下都不應該被信任,
即使他們為公司工作。

在討論如何實施零信任框架時,必須注意,
就需要實施何種程度的安全性以及需要如何隔離訪問而言,
一種規模並不適合所有情況。
但是,在採用零信任狀態時需要考慮兩個關鍵促成因素;
身份和訪問管理 (IAM) 和網絡微分段。

IAM 本質上讓系統管理員可以管理不同用戶和實體的身份;
並根據企業內個人用戶的角色規範對系統或網絡的訪問。
角色是根據企業內的工作能力、權限和責任來定義的。
這方面的一個很好的例子是與他們的下級相比,
組織中更高級的人物可能有權訪問的特殊權限。
實際上,這可能意味著只有實踐主管才能訪問採購系統來批准採購請求。
訪問管理的主要優勢之一系統的優勢在於,無論用戶的位置或設備類型如何,
它們都可以啟用或撤銷訪問。在擁有大量遠程或游牧工人的組織中,
這為系統管理員提供了很大的靈活性;同時給予員工在任何地點工作的自由。
75% 的組織依靠訪問管理來保護其外部用戶登錄到在線企業資源的安全,
這凸顯了它們作為網絡安全關鍵資源的價值。

網絡微分段的工作原理是將網絡分成不同的分段,
這些分段只能由已知數量的用戶訪問。
例如,如果您在貴公司的 HR 部門工作,
則無法訪問用於財務團隊的文檔部分,
反之亦然。這也意味著,如果黑客使用了工作人員的憑據,
他們就不能洩露比該個人有權訪問的數據更多的數據,
每個應用程序或資源都被自己的防火牆隔離以保護它。
然而,儘管這減少了威脅的橫向移動,
但公司仍然必須首先使用身份和訪問管理系統來識別用戶、設備和其他資源。

雖然這兩種方法不同,但它們在多種方式上是互補的,
從長遠來看,大多數公司可能需要在兩者之間取得平衡,
以顯著減少內部威脅並創建一個適用於他們的零信任框架版本。
隨著威脅形勢的不斷發展和演變,重要的是公司不要忘記,
有時最嚴重的威脅來自您通常最信任的人——永遠不要相信內部人員!,永遠需要驗證!



發佈留言