零信任是什么?易懂地解说与边界型安全的区别

home博客零信任与边界型安全的区别解说

以往的网络安全主要采用“边界型安全”的方法,即在内部和外部设置边界,阻止边界外的攻击,只允许内部的访问。。但是,随着最近远程办公的普及,无论是公司内部还是公司外部,通过互联网使用各种服务的机会增加,重新评估安全性的企业也在增加。。

因此,这次将针对被称为“zero trust”的新安全概念,根据与以往网络安全的不同进行解说。。

1. 零信任是什么?

到目前为止,IT环境采用了不能通过专线或公司局域网从外部直接连接业务网络线路的结构,保持了较高的安全性。。但是,随着基于远程工作的互联网通信和云应用的扩大,连接外部网络和局域网的必要性增大了。。

为了应对这种情况,“服务器和公司内部网络连接的设备和应用程序都是威胁的可能性和可能,”不能信赖”作为处理”的概念为基础,所有节点的认证和验证要求的机制和安全对策——“零trust”出现了。。

2. 零信任受到关注的背景

为了提高在互联网上使用的microsoft365(原Office365)和Salesforce等的通信效率,将过去数据中心的服务器转移到公有云,采用不经过主数据中心配置的事例正在增加。
在这种趋势下,以“利用VPN和线路冗余化、加密等的公司内部网络是安全的”为前提,仅设想外部攻击者的安全对策难以应对的情况越来越多。。

例如,ddos攻击是一种外部访问本身没有危害,但是由于大量的流量给服务器和网络带来过多的负担,导致服务器和网络停止运行的攻击方式。。另外,一旦内部被入侵,边界型安全就无法应对伪装成正常访问,进行不正当操作的恶意软件和代码的恶意软件攻击。。

那么,在零信任的情况下,如何排除、控制攻击者和非法行为呢?。

3. 零信任的安全对策

zero trust是一种具有以下特征的安全措施。。

  • 重视端点的安全性
  • 网络零信任概念的实现
  • 云安全

除了上面提到的,还有监控自动化。。

3-1. 重视端点的安全性

端点是连接到终端和服务器客户端的会话。。端点安全是一组以连接设备(终端)的管理和认证机制为核心的安全解决方案,可以采取以下措施。。

  • 未经认证的设备不允许连接网络
  • 一旦发现连接异常,立即切断连接
  • 从受感染的终端中清除恶意软件

这些都是通过EDR(Endpoint Detection and Response)解决方案来实现的。。现在,随着电信和移动设备的普及,EDR解决方案变得越来越重要。。当客户终端被入侵时的检测和防御(IDS/IPS)也包含在一系列EDR中。。

3-2. 网络零信任概念的实现

以往的边界型安全,采用的是通过网络加密、冗余等技术来保证网络内安全的方法。。另一方面,在“网络无论外部还是内部都是开放的,不相信任何访问”的零信任方法中,更重要的是连接的认证。。为此,需要确认所有设备的流量来源,不允许在各节点进行不必要的连接。。而且,在记录后进行验证,如果有不正当的连接,也有必要找出原因。。

这种管理的实现,被称为岩(identity and access management)技术中,id、位置信息等,进行精密本人认证,最大限度的接近正确的用户及正确的目的只允许登录的引进解决方案。。这样的网络有时被称为“零信任网络”。。

3-3. 云安全

零trust在云端型保安介绍,零trust网络的接入认证、存取限制的管理可以iam的保安,云端服务本身的安全监视、存取限制等。。

通过互联网使用云服务可能会产生安全威胁,例如,不合理的设置可能会导致数据泄露、账户劫持、允许不喜欢的第三方应用连接等。。因此,为了加强云安全的管理,管理者需要俯瞰众多云服务,并提供可控的解决方案。。CSPM(云安全Posture Management)解决了这些问题。。CSPM是一种安全解决方案/系统,能够持续检查云服务是否存在设置错误或违反指南的情况,从而提高控制能力。。

成立于2008年的美国安全企业zscaler推出的CSPM的主要功能,在此简单介绍一下。。

zscaler公司的CSPM的特点是?

  • 云的配置错误的可视化和对策的执行
  • 合规的报告和对策的执行
  • 防止应用程序漏洞
  • 集装箱环境的保护
  • 大数据保护平台的一部分

CSPM可以自动识别和纠正SaaS、IaaS和PaaS的应用配置错误,以保证合规性。。它还可以防止云的错误配置,实现可视化的统一和自动化修复。。

在这个服务提供商提供低成本、有吸引力的云解决方案的时代,从可用性BCP的角度来看,依赖单一云服务的配置并不理想。。CSPM可以自动化管理很多云服务中存在的问题,手动管理会花费很多时间。。

通信运营商Colt与zscaler合作,安全网络网关服务并提供"。通过作为Colt的因特网接入服务的Colt ip access, Colt IP VPN, Colt sd wan的选项导入,实现更加安全的因特网接入环境。。

3-4. 监控自动化

实际上,要进行如此细致的认证、记录采集、监控等工作,公司内部的IT及安全资源,尤其是人员的确保是非常困难的。。但是,为了确保安全,很多任务都有一定程度的定型化,因此可以实现自动化和效率化。。

因此,我们可以考虑使用SOAR解决方案。。SOAR的意思是Security Orchestration, Automation and Response(监视,检测,自动的事件相关任务管理,自动响应)。。soar解决方案,是腐败的预防和清除インシデント及管理这些相关的任务自动进行,帮助编辑和保安专业部门的任务、作业流程进行管理,因此最新的操作流程主线,反映和记录、文件化也会变得容易。。

4. 边界安全与零信任安全的区别

正如开头提到的那样,所谓边界型安全,是指用“边界”来区分网络内部和外部,从而防御网络之外风险的方法。。如果是在网络内外分明的专线,或者是完全不连接互联网的公司局域网环境下,可以发挥极高的安全性。。

另一方面,零信任安全则是不信任公司内部网络,也不信任连接的所有设备和流量,通过高度的认证和技术手段来应对安全威胁。。因为是只有被认证的用户和终端才能访问的环境,所以可以防止公司内部信息的泄露。。

4-1. 边界安全的未来展望

两种方法的不同,可以说是互补的。。

零信任安全着眼于各个设备的访问,在公司内部网络的入口能够以接近100%的水平阻挡攻击是重要的防御理念。。那么,零trust的想法或公司内部和外部的网络ファイアーウォール、网关等的围墙,也可以断言,那么直接公开赛的网络攻击,再加上受到攻击的概率也会提高。。

像这样,有边界、以边界为中心思考防御的重要性是不变的。。作为边界型安全、零信任安全的方法,并不是说哪一种更好,而是要根据网络的使用目的和本公司的环境进行选择。。

5. 零托拉斯的世界动向

受新型冠状病毒感染的影响,全世界对zero trust的关注度越来越高。。okta日本japan, apac(亚太),emea(欧洲、中东、非洲),北美为对象实施了“the state of zero trust security 2021”调查结果显示,在今后的18个月间,全世界7 ~ 9成以上的零trust的努力实施的数据。。另一方面,在日本回答“没有导入零信任计划”的人占3成多,与其他地区相比,日本在推进零信任计划方面的进展比较缓慢。。

出处:《日博体育app下载》 http://japan.zdnet.com/article/35175613/

6. 总结

“零信任推进了多少”与“安全措施做了多少”并不能划等号。
零信任与边界型安全各有优势,“人尽其才”组合才能提高对网络攻击的防御能力变成了。。

如果存在可以加固的弱点,建议在仔细研究该如何强化本公司的安全对策的基础上导入各种解决方案。。

相关服务

以上介绍的服务和相关服务列表。。
我们将为您提供符合您使用需求的最佳网络安全解决方案,请务必咨询Colt。

managed firewall

管理防火墙

保护客户的公司网络和关键数据免受网络威胁

encryption

网络加密服务

不仅是网络的边缘和核心,通过多层保护实现高网络安全性

ip guardian

互联网安全网关服务

作为网络附加选项zscaler增加安全性,提供稳固的安全解决方案

k e e p i ng-your-business-secure-1

Colt IP守护者(防ddos服务)

从防火墙的管理ddos甚至提供对策24時間365日的互联网安全解决方案