如今使用的主要安全体系结构是什么?在“ 零信任架构的兴起 ” 的文章中,介绍于在网络安全领域广泛而迅速地采用这种相对较新的概念的文章。但是,今天仍在使用其他几种安全体系结构:传统网络外围安全、远程访问VPN、网络细分、基于角色的访问控制、软件定义的边界(SDP)等。
传统网络外围安全
传统的网络外围安全性由许多不同的部分组成,所有这些部分协同工作以为网络提供安全解决方案。
传统上,网络安全通常从用户身份验证开始,通常使用用户名和密码。此方法也称为单因素身份验证,通过两因素身份验证,将需要验证另一项内容,例如手机,USB驱动器甚至某种令牌。在频谱的最高级端,还有三项身份验证,这将涉及用户的生物学,例如视网膜或指纹扫描。
验证用户身份后,防火墙将确保遵循访问协议,并对用户在网络中的访问权限施加限制。这是防止未经授权的人访问网络的非常有效的方法。另外,可以对网络上两个主机之间的通信进行加密,以为网络提供额外的安全层。
一些企业可能还会部署蜜罐。蜜罐本质上是一种网络资源,它充当网络本身内的诱饵。它们可以用作监视工具或预警系统,因为蜜罐不用于任何合法的商业目的。这意味着,如果访问了蜜罐,通常会出问题。安全团队可以分析对蜜罐的攻击,以及时了解新的攻击。然后,可以通过突出显示以前未知的漏洞,将这些发现应用于进一步提高真实网络中的安全级别。
与蜜罐类似,蜜网是诱骗的网络,设置了故意的安全漏洞。这些工具旨在吸引攻击者,以便可以分析他们的方法以提高真实网络的安全性。当前,越来越多的企业正在利用网络分段并将其添加到系统中以增强安全性。
尽管具有传统的外围安全保护的优点,但此过程在阻止特洛伊木马和计算机蠕虫通过网络传播方面并不完全可靠。传统上,为了解决此问题,将使用防病毒软件或入侵防御系统。他们可以检测并阻止这些攻击的传播。
此外,尽管该系统在防止外部威胁方面表现出色,但在防止内部威胁方面却无效。随着使用自己的设备进行远程工作的人数增加,受污染的设备可能连接到公司网络的风险也增加了,这有可能使网络面临风险。这导致零信任体系结构的日益普及。
远程访问VPN
VPN(虚拟专用网络)可在最初是公共的网络上创建专用网络。这样,VPN的用户就可以像实际连接到主专用网络本身一样,通过它们发送和接收数据。这意味着通过VPN运行的任何应用程序都将能够使用VPN连接的专用网络的功能,安全性和管理功能。
VPN技术的最初开发是为了允许远程用户和不同的办公室分支机构访问将在主办公室分支机构的网络中托管的应用程序和其他项目。要访问VPN,用户必须使用密码或安全证书对自己进行身份验证。
当企业使用VPN技术时,它可以帮助确保远程工作人员和其他办公室可以建立与总部网络的安全连接,而没有攻击者通过远程用户渗透到网络的风险。
网络细分
在计算机网络的上下文中,网络分段的做法是将计算机网络分成一组子网。这些子网中的每一个都称为一个网段。
对网络进行分段的安全性优势之一是,来自分段的任何广播都将保留在内部网络本身内。结果,网络的结构将仅在内部可见。
对网络进行分段的另一个优点是,如果网络的某个部分确实遭到入侵,则攻击者可以通过的表面积会减少。此外,某些类型的网络攻击仅在本地网络上起作用,这意味着,如果您对系统的不同区域进行分段,则根据其使用情况做出这些决定。例如,如果要为数据库,Web服务器和用户设备创建单独的网络,这将有助于使网络更加安全。
网络分段还可以用于确保人们只能访问他们所需的资源。这可以通过在战术上将您的资源分配到各个网络并将特定的人员分配给每个网络段来实现。
正确使用网络分段来提高安全级别将涉及将网络分段划分为那些不同的子网,并为每个子网分配一定级别的访问权限。然后,您应采取步骤确保已制定协议以限制每个子网之间可以移动的协议。
基于角色的访问控制
基于角色的访问控制 (RBAC)可根据用户拥有的授权级别来帮助限制对某些系统的访问。拥有500多名员工的绝大多数公司都使用基于角色的访问控制,而中小型企业越来越多地开始使用此技术。为了最有效地使用RBAC,公司将按特定类别划分其用户资料。通常,它们将基于工作角色,资历级别以及每个人基于前两个因素所需的资源。
例如,如果组织要使用RBAC,而财务团队的初级成员要登录其网络,则该员工将有权访问较低级别的财务数据,这些数据将要求他们在其职务中查看。但是,他们的访问仅限于此。例如,他们将无法查看与法律团队有关的任何文件或数据,或者仅由高级财务团队成员查看的文件。
当企业使用RBAC时,这是一种非常有效的方法,可以确保只有拥有查看权限的个人才能查看任何敏感数据。它还可以帮助防止故意的内部信息泄漏。
软件定义的边界(SDP)
什么是软件定义的边界?
在组织内创建零信任架构的一种方法是创建或使用SDP。我们将研究什么是SDP,因此您可以做到这一点。
由于云存储在现代已变得越来越普遍,由于这些云服务器无法通过传统的外围安全措施保护,因此在这些云系统上遭受网络攻击的风险增加了。这导致在2013年创建了软件定义的边界。软件定义的边界是一个研究工作组。他们的重点是创建一个安全系统,以帮助防止对云系统的攻击。
他们的研究结果将免费提供给公众使用,并且不会受到任何使用费或任何其他限制。
从工作组成立之初,他们就决定尝试并着重于构建一种既经济高效又灵活又有效的安全解决方案。在工作中,团队确定了三个基本设计要求。
首先,他们认为他们的安全体系结构需要确认用户的ID,他们正在使用的设备以及访问某些目录的权限。接下来,他们认为使用加密技术的验证将是确保应用其安全协议的最佳选择。最终,确定满足前两个要求所需的工具是具有可靠记录并且在公共领域中的安全工具。
SDP决定他们的安全体系结构应基于控制通道。该控制通道将使用团队认为最适合该任务的标准组件。这些组件是SAML,PKI和相互TLS。
该工作组最终根据此想法发表了一篇论文,以评估是否需要这种系统。他们在这里将其命名为“软件定义的边界”。
SDP正在进行的工作引起了极大的兴趣,这导致其系统版本1在2014年4月发布。
他们的第一个设计是由启动主机组成的,它将向控制器提供有关正在使用什么设备以及由谁生产的设备的信息。该信息将与相互TLS连接一起传输。完成此操作后,控制器将链接到发出证书的CA,以确认设备的身份,还将链接到ID提供程序,以便他们可以验证用户的身份。确认此信息后,控制器将提供一个或多个相互TLS连接,这些连接将链接前面提到的发起主机和任何必需的接受主机。该系统发挥了重要作用,能够防止任何形式的网络攻击,包括 中间人, DDoS和 高级持续威胁。
SDP版本1的体系结构
用于商业用途的原始SDP产品是通过用于商业应用程序的覆盖网络实现的,这些示例包括对高价值数据的远程访问或保护云系统免受攻击。SDP的发起主机采用客户端的形式,接受主机成为网关。
SDP客户端
SDP客户端本身负责多种功能。其中两个包括验证正在使用的设备和正在使用的用户ID,以及将白名单应用程序路由到已授权的受保护应用程序。
SDP客户端具有实时配置,以确保相互TLS VPN连接仅链接到单个用户有权使用的项目。这意味着SDP客户端具有根据用户权限级别限制对某些数据点的访问的功能。这是在验证用户的ID和设备之后执行的。
SDP网关
SDP网关用作终止与SDP客户端的相互TLS连接的点。从拓扑的角度来看,网关将被实现为尽可能接近受保护的应用程序。
一旦确认了请求访问的设备的身份并且暴露了它们的许可级别,SDP网关将接收IP地址及其证书。
SDP控制器
SDP控制器在后端安全功能之间充当受信任中间人的功能。一旦SDP客户端已完成验证并且已经检查了用户的权限级别,SDP控制器将随后开始配置SDP客户端和SDP网关,以便它们可以通过相互TLS建立实时连接。
SDP架构的安全性
正确实现所有这三个功能后,SDP体系结构可以为您的安全系统提供出色的独特属性。这些功能在下面列出。
1)隐藏信息
受保护的应用程序基础结构中没有DNS信息,也没有任何可见端口。因此,受SDP保护的资产被称为“深色”资产,因为即使您进行扫描也无法发现它们。
2)预认证
尝试访问的设备的身份将始终在被授予连接之前进行验证。设备的身份将使用MFA令牌进行确认,该 MFA令牌 将嵌入在TCP或双向TLS体系结构中。
3)预授权
仅授予SDP系统中用户由于其角色而需要访问的服务器的权限。用于确认身份的系统会将用户的授权传达给SDP控制器。这是使用SAML断言执行的。
4)应用程序层访问
即使授予用户访问应用程序的权限,也只能在应用程序级别,而不能在网络级别。SDP还将主机使用的设备上的某些应用程序列入白名单,这有助于将系统通信保持在应用程序到应用程序级别。
5)可扩展性
SDP的体系结构是在各种基于标准的不同部分的基础上创建的。其中包括相互的TSL,SAML和安全证书。由于SDP体系结构由基于标准的部分组成,因此可以轻松地与其他类型的安全系统链接和集成,包括数据加密系统和远程证明系统。
通过将预身份验证与预授权结合使用,企业可以创建对于身份不明的主机不可见的网络,同时仅根据已知用户的组织角色向其提供必要的权限。
关于SDP的关键部分之一是,在用户与受保护的应用程序之间建立TCP连接之前,需要进行预认证和预授权。除此之外,将仅向授权用户授予某些应用程序的权限,以确保受感染的设备无法在网络上横向移动。