Gartner将零信任网络访问定义为围绕一个或一组应用程序创建基于身份和上下文的逻辑访问边界的产品或服务。Tech Target说得更简单,说明zero-trust网络安全模型假设默认情况下不应该信任允许进入网络的用户,因为他们可能会受到攻击。
零信任方法要求在整个网络中进行身份和设备身份验证,而不仅仅是在外围。你可以把零信任想象成每个入口都锁上了门,任何人都需要正确的钥匙和授权才能进入。
考虑到这一点,这一点非常重要85%的入侵都涉及到人为因素.只要组织中有人点击恶意链接或下载受感染的PDF文件,就会立即将您的网络和数据置于恶意软件和勒索软件的威胁之下。随着社会工程计划变得越来越复杂,最近的一篇Tech Target文章说,一些攻击是如此精心设计,以至于他们即使是愚蠢的安全研究人员.
零信任:加强你的防线
作为加强美国抵御网络攻击的努力的一部分,美国国家安全局(NSA)建议各组织采用一种zero-trust安全模型.美国国家安全局将这种模式定义为“一种基于承认传统网络边界内外都存在威胁的协调网络安全和系统管理战略”。
当您转移到零信任模型时,您将不断地限制访问由任何人只做需要做的事。零信任包括对异常或恶意活动的监视、基于风险的细粒度访问控制(RBAC)以及贯穿整个基础设施的自动化、协调的系统安全。您还应该更加关注实时保护关键数据。
回到人为因素,一个成功的零信任安全模型要求组织中的每个人,从上到下,理解并致力于零信任原则。
零信任的基本概念
国安局已经发布了高层指导方针,当你转向零信任模式时,这些方针可以作为你决策的基础,包括:
- 从来没有信任;总是验证
- 所有用户、设备、应用程序、工作负载和数据都被视为不可信。使用动态安全策略进行身份验证并显式授权每个用户使用所需的最小权限。
- 假设发生了违约
- IT团队需要首先假设他们已经被攻破,然后进行相应的操作和防御。默认情况下,每个用户、数据流、设备和请求的每次访问尝试都应该被拒绝。应该监视、记录所有配置更改、资源访问和网络流量,并检查是否存在恶意活动。
- 验证每个人
- 使用具有多个动态和静态属性的一致的、安全的方法,以增加对资源访问受到上下文因素限制的信心。
建立零信任的解决方案
美国国家安全局还分享了一些构成零信任战略基础的核心概念,包括:
- 设定明确的目标:零信任体系结构需要满足组织的特定需求,包括识别关键数据、资产、应用程序和服务。
- 开始在:第一步是保护上面列出的体系结构的组件。下一步是保护对这些组件的所有访问。
- 决定特权:创建安全策略并在您的环境中一致地应用它们——局域网(lan)、广域网(wan)、端点、周界、用户和设备。
- 获得可见性:将解决方案到位,使您可以完全看到整个网络架构中的所有活动,从而启用分析,以检测可疑活动,并让您在采取行动之前检查和记录所有活动。
零信任包括您的备份解决方案
随着黑客攻击备份的频率越来越高,他们可以阻止您的组织从攻击中恢复,保护您的备份比以往任何时候都更加关键。我们设计了Arcserve UDP支持零信任安全策略,并将重要数据备份暴露于外部威胁的风险降至最低。
Arcserve UDP和Zero Trust
Arcserve UDP通过包括扩展默认和可定制配置来防止不必要的访问。该解决方案的特性还确保只有授权用户才能访问您的数据备份和数据保护基础设施。Arcserve UDP可以支持对本地用户的访问,也可以与组织的Active Directory部署集成,以简化用户管理。
UDP还利用整个平台的零信任原则来保护您的备份,包括:
- 缺省情况下,只有管理员可以使用Arcserve UDP Agents和恢复点服务器(RPS),每次访问都需要严格的认证。
- 高级RBAC功能允许为用户分配预定义的管理、备份、恢复或监视角色之一。或者,您可以选择用一组权限来定义一个新角色,该权限控制对超过36个单个特性的访问。
- 在Linux环境中,Arcserve UDP组件可以在非root用户id下运行,并在需要管理权限时使用SuperUser DO (Sudo)命令。
超越零信任:隔离您的备份基础设施
Arcserve UDP在很大程度上是自给自足的,设计用于在孤立的环境中运行。此方法通过监视和最小化对备份数据的访问,为您的零信任策略增加了进一步支持,以便您可以在灾难发生时进行恢复,包括:
- 为了Arcserve UDP组件之间的安全通信,必须开放极少数非标准TCP端口,所有其他操作都在受保护的系统和RPS上本地执行。
- 基于web的接口通过HTTPS操作,不需要打开可能不安全的端口,如远程桌面协议(RDP)。
- 唯一的自动外部互联网查询是定期检查更新。如果环境是安全且完全隔离的,则可以禁用该检查,以防止来自防火墙解决方案的出站连接尝试警报。
- Arcserve建议不要将Arcserve UDP服务器与更大的活动目录集成,以最大限度地减少数据保护基础设施的潜在攻击面。
当将备份复制到远程站点或云- TCP/8014复制数据时,Arcserve还建议将网络之间的直接连接限制在所需的端口上,而TCP/8015用于集中管理。如果您的主站点被黑客攻击或被勒索软件锁定,这将最大限度地减少暴露您的数据的次要备份副本。
最高安全性监控
通过先进的监控功能,Arcserve UDP可以让您的备份管理员快速反应,调查备份基础设施操作的任何方面——包括安全——通过提供:
- 根据需要,通过电子邮件发送关于Arcserve UDP部署的特别报告。
- 大多数备份操作的自动电子邮件警报,因此您可以快速解决任何问题。
全面的作业日志,包括调查备份和基础设施异常所需的所有必要信息。当出现问题时,Arcserve UDP也会在不登录管理控制台的情况下提醒备份管理员。
向零信任迈进
Arcserve是零信任模式的坚定支持者。要了解如何实施零信任策略,请选择我们的专家技术合作伙伴或联系我们了解更多产品细节。