使用零信任快速实现安全现代化
langu_xyz
 2022-05-17 21:00:00      2.9k Words  9 Mins

这些是使用零信任快速实现安全现代化的建议优先事项

用户访问和工作效率

许多组织的第一个举措侧重于对传统企业网络安全边界之外的新型生产力资源(云和移动)资产的安全可见性和控制。

用户访问和工作效率(用户账户和设备)

这通常始于为云应用程序和移动设备建立身份“安全边界”,将身份用作控制平面,并在允许访问之前明确验证对用户帐户和设备的信任

1a. 用户帐户 - 首要任务是需要强大的多因素身份验证 (MFA)(最好是无密码身份验证)。 攻击者很容易获得泄露的用户名/密码和常用密码,因此组织必须优先考虑超越仅密码身份验证作为他们的第一步。

1b. 端点——在允许从它们访问之前,应该快速测量生产力设备保证。 许多攻击者已经掌握了破坏用户设备、窃取凭据并使用这些技术继续攻击环境的技术。

该计划的下一个优先事项将这些新的高级控制扩展到应用程序:

1c. 应用程序——从 SaaS 应用程序开始,使用您在步骤 1 中配置的 Azure AD 身份验证安全性来提高您的资产访问安全性。 为所有认可的软件即服务 (SaaS) 应用程序配置 Azure AD。
然后,通过两步流程进行现代化并超越 VPN 身份验证,为不直接支持现代协议(如 OAuth/OIDC 和 SAML)的应用程序启用安全性

• 提高VPN 安全性- 通过将您的VPN 设备连接到Azure AD 身份验证,VPN 会话受益于用户帐户/会话的显式验证和设备可信度的额外安全性。

• 发布应用程序——通过 Azure AD 应用代理发布现有的本地(和 IaaS)应用程序,将应用程序移出 VPN,使您能够利用第 1 步中的强大 Azure AD 身份验证,改善用户体验,并将帐户限制为访问 一次单个应用程序(而不是通常提供对整个网络的所有端口/协议的访问权限的 VPN)。

作为访问控制现代化的一部分,您还应该确保已建立网络控制:

1d. 网络 - 建立基本的流量过滤和分段,以增加对业务关键和高度易受攻击的资源的隔离。

数据、合规性和治理:

下一个举措是数据、合规性和治理的现代化,包括:

  • 勒索软件恢复准备——确保您能够从自己经过验证的备份中恢复数据和系统,这样您就不必向攻击者支付敲诈勒索以重新获得对您业务资产的访问权限。

  • 数据——您还应该专注于保护数据本身。 无论您是否已经采用传统的数据丢失保护 (DLP) 方法,您都应该专注于保护数据:

无论走到哪里(云服务、USB 设备、企业端点和服务器等),都采用超越扩展程序(或构建新程序)的完整生命周期方法

• 采用全生命周期方法(发现、分类、保护和监控)

根据您的数据安全优先级,选择有助于实现此目的的技术,例如 Microsoft 信息保护 (MIP),它会加密数据并需要对云服务进行身份验证以获取解密密钥。 Microsoft Defender for Cloud Apps 还可以发现云应用程序和应用程序会话中的非结构化数据,Azure Purview 可以发现结构化数据并对其进行分类。  

现代安全运营 (SecOps)


 
组织通常与前两个并行运行的另一个首要任务是安全操作的现代化。 该计划侧重于针对新的云应用程序、远程设备、身份和其他传统安全边界之外的资产的威胁检测、响应和恢复功能,以补充预防性访问控制。

使用零信任实现安全运营现代化需要严格的优先级,以确保 SecOps 团队专注于组织面临的最大风险,不会在误报/误报上浪费时间,并在他们需要的整个资产中拥有广泛而深入的可见性是有效的。

• 简化响应 - SecOps 的首要任务是掌握威胁响应和对常见攻击资源的补救,使用

• 扩展检测和响应 (XDR) 技术为这些新资源类型提供高质量的警报,在尝试在 SIEM(安全信息和事件管理)中构建每个警报时绕过人工工作和延迟。

• 简化针对这些常见攻击的流程。 将分类(第 1 层)和调查(第 2 层)分析团队的重点放在掌握这些攻击上,将在此过程的早期捕获普通攻击者和高级攻击者,从而降低组织的风险。

• 统一可见性 —— 虽然很难从 SIEM 中的原始数据创建高质量的个人警报,但它们对于将所有数据和上下文整合在一起以进行调查和威胁搜寻非常有用,从而可以全面了解您的整个资产 (减少攻击者可能停留的盲点)。

• 减少人工

在任何时候,安全操作都应该专注于减少手动和重复性任务(如切换工具、键入命令、复制/粘贴数据等)的劳累/痛苦。专注于为分析师提供简化的端到端集成体验,包括安全编排、自动化和 响应(SOAR)技术将提高效率和士气。 SOAR 技术内置于 Microsoft 365 Defender 和 Microsoft Sentinel 中。  

数据中心安全

数据中心零信任的重点领域包括:

• 安全基线——首先关注数据中心应用完善的安全最佳实践。 正如推土机和生产线等物理设备需要定期维护(换油等)才能可靠运行,计算机系统也是如此(尽管计算机安全维护故障通常会像烟花工厂的草率消防安全程序一样突然发生)。错误配置和缺少安全更新可能会破坏或否定几乎所有其他安全控制,因为它们允许攻击者绕过这些架构假定的安全边界。

• 降低遗留风险– 发现并(制定计划)淘汰具有高安全风险的遗留技术,如遗留身份验证协议和不受支持的操作系统。 具有网络访问权限的攻击者可以迅速利用这些来扩大他们对环境的访问权限,因此偿还这笔技术债务是一项值得投资的事情。 Microsoft Defender for Cloud 可以为多云和本地资源提供这种发现和测量。

• DevOps集成 -– 将安全性尽可能无缝地集成到DevOps 流程中,以提供健康的安全代价(导致批判性思维和分析),同时避免不健康的代价(阻碍的价值超过其保护的价值)。 在理想状态下,团队共同朝着创新速度、可靠性和安全弹性的目标保持一致。

• 微分段 —— 应用微分段的概念,结合身份和网络控制。 将对资源的访问限制在更小的“段”中,通过限制任何受损数据中心资源的“爆炸区域”来降低风险(这限制了攻击者访问其他数据中心资源的能力,应用最小权限原则)。

• 即时 (JIT) 虚拟机访问——这会阻止管理员使用的管理端口(以及攻击者的目标),而不限制客户和员工的端口/协议。

• 网络过滤(Internet 防火墙和 IDS/IPS)——大多数现有/遗留应用程序都是在假设它们位于专用网络(防火墙、IDS/IPS 和/或 WAF 之后)上的情况下实施和操作的,因此它对 确保在云上遵循这些实践(直到/除非它们被重构为云原生应用程序)。 随着组织迁移到 Azure,他们可以选择使用网络设备直接扩展其现有功能,也可以选择采用 Azure 防火墙和 WAF 等原生功能。

• 网络过滤(在数据中心内) 这通常是最难成功执行的元素之一,因为在数据中心静态控制内应用精细网络控制需要深入了解应用程序工作流,以避免破坏业务关键应用程序功能与安全控制。

• 网络安全组

• 应用程序安全组

• 内部资源身份验证——除了第 1 步和第 2 步中的保护措施外,身份团队和工作负载所有者应努力确保服务器、应用程序和服务在相互通信之前进行身份验证。 这限制了任何受损资源对其他应用程序、VM、帐户或其他资源的访问,从而增加了攻击者的成本和摩擦。  

零信任数据中心小贴士

• 与云计划保持一致——当您将工作负载迁移到云端时,我们建议将零信任原则引入企业和工作负载安全性的设计中。 将这些保护措施改造到本地数据中心通常很困难,并且需要处理每个单独的工作负载和应用程序(可能有数百、数千甚至更多)。 因为云迁移已经在清点并与应用程序/工作负载所有者合作,所以在您进入云时添加零信任保护是最好的自然集成点。

•更快地将设备移动到互联网——最终用户设备和数据中心共享一个网络,直到这些设备移动到仅互联网模式。 这种情况发生得越早,您的 Intranet 就越早缩小为更容易隔离风险的较小的私有数据中心网络。 要达到这种状态,用户和设备需要从 SaaS 或已发布的旧版应用程序(通过 Azure AD 代理或类似方式)获取他们的所有应用程序,这样他们就不再需要直接(或 VPN)访问数据中心网络。  

运营技术


 
如果您的资产包括运营技术 (OT) 和工业 IoT,则下一个优先事项是将零信任原则应用于这些环境。

保护这些环境和架构的安全通常受到旧硬件和软件的限制,因此您应该专注于发现这些资产的过程,通过将易受攻击和/或重要的工作负载与 Internet 和 Intranet 连接隔离开来保护它们,并使用制造的安全工具来监控它们用于环境(不会导致旧应用程序和操作系统崩溃的被动监控)。

Microsoft Defender for IoT 旨在发现这些资产并以非侵入式的方式对其进行监控,同时应用复杂的异常检测(如果需要,还可以选择连接到云中的 Microsoft Sentinel 以进行进一步的分析和关联)。

  • Post title:使用零信任快速实现安全现代化
  • Post author:langu_xyz
  • Create time:2022-05-17 21:00:00
  • Post link:https://blog.langu.xyz/使用零信任快速实现安全现代化/
  • Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.