Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W architekturze Zero Trust sieć nie jest już traktowana jako zaufana granica. Zamiast tego staje się warstwą transportu, w której każde połączenie musi być jawnie zweryfikowane, autoryzowane i stale monitorowane. Filar sieciowy koncentruje się na zabezpieczaniu dostępu do aplikacji i zasobów poprzez egzekwowanie mechanizmów kontroli uwzględniających tożsamość i kontekst, segmentację łączności oraz minimalizowanie możliwości bocznego przemieszczania się atakujących.
Wytyczne dotyczące filaru sieci koncentrują się na przenoszeniu kontroli dostępu z granicy sieci bliżej aplikacji i zasobów. Podkreśla weryfikację każdego połączenia na podstawie sygnałów związanych z tożsamością i urządzeniem, egzekwowanie zasady najmniejszych uprawnień poprzez segmentację oraz przyjęcie założenia o naruszeniu poprzez ograniczanie zakresu narażenia i ruchu bocznego.
Implementacja warsztatowa
Warsztaty sieciowe obejmują obszary wdrożenia podsumowane w tabeli.
| Area | Szczegóły |
|---|---|
| Wdróż dostęp sieciowy w modelu Zero Trust (ZTNA) dla aplikacji | Zamień niejawne zaufanie w sieci firmowej na decyzje dotyczące tożsamości i dostępu opartego na kontekście. Połącz użytkowników bezpośrednio z aplikacjami przy użyciu kontroli dostępu z obsługą tożsamości i stale oceniaj sesje na podstawie tożsamości, stanu urządzenia, sygnałów ryzyka i lokalizacji. |
| Włączanie bezpiecznego dostępu prywatnego do aplikacji wewnętrznych | Zapewnianie dostępu do aplikacji wewnętrznych i prywatnych bez ujawniania ich publicznej sieci Internet. Użyj proxy aplikacyjnych i bram uwzględniających tożsamość, aby wyeliminować szeroki dostęp na poziomie sieci i zmniejszyć powierzchnię ataku. |
| Zabezpieczanie wychodzącego dostępu do Internetu | Użyj bezpiecznej bramy internetowej (SWG) lub podobnych kontrolek dostarczanych w chmurze, aby sprawdzić, filtrować i kontrolować ruch wychodzący. Zastosuj zasady na podstawie tożsamości użytkownika, stanu urządzenia i ryzyka, aby zapobiec dostępowi do złośliwych lub nieodpowiednich miejsc docelowych. |
| Ochrona aplikacji i punktów końcowych dostępnych z Internetu | Zmniejsz narażenie na publiczne aplikacje i usługi, stosując warstwowe zabezpieczenia przed atakami w postaci woluminu, protokołu i warstwy aplikacji. Użyj filtrowania ruchu, inspekcji żądań, kontroli szybkości i zautomatyzowanego ograniczania ryzyka, aby zwiększyć odporność i dostępność. |
| Segmentowanie sieci i dostępu do aplikacji | Zaimplementuj segmentację i mikrosegmentację w środowiskach lokalnych i w chmurze, aby ograniczyć łączność między użytkownikami, urządzeniami i aplikacjami. Ogranicz przenoszenie boczne, udzielając dostępu tylko do jawnie autoryzowanych zasobów. |
| Szyfrowanie i ochrona całego ruchu sieciowego | Upewnij się, że cały ruch — wewnętrzny, zewnętrzny i wschodnio-zachodni — jest szyfrowany podczas przesyłania. Używaj bezpiecznych protokołów i bram uwzględniających tożsamość, aby zapewnić poufność i integralność komunikacji. |
| Przenieś egzekwowanie zasad bliżej aplikacji i danych | Przenieś egzekwowanie z tradycyjnych zabezpieczeń brzegowych do zabezpieczeń na poziomie aplikacji i uwzględniających tożsamość. Użyj odwrotnych serwerów proxy, bram aplikacji i mechanizmów kontroli opartych na sesji, aby egzekwować zasady w punkcie dostępu. |
| Zwiększanie widoczności sieci i ciągłego monitorowania | Uzyskaj wgląd w ruch sieciowy, wzorce dostępu do aplikacji i aktywność użytkownika. Stale monitoruj sesje i analizuj dzienniki z mechanizmów zabezpieczeń sieciowych, bram i granic segmentów sieci, aby wykrywać anomalie i wspierać dochodzenia. |
| Integrowanie sygnałów sieciowych z operacjami zabezpieczeń (SecOps) | Przekazywanie danych telemetrycznych sieci, zdarzeń dostępu i analizy ruchu do scentralizowanych systemów monitorowania i reagowania. Korelowanie aktywności sieciowej z tożsamościami, urządzeniami, danymi i sygnałami infrastruktury w celu wykrywania zagrożeń, badania zdarzeń i reagowania na podejrzane zachowanie. |
Ocena stanu sieci
Narzędzie oceny Zero Trust może ocenić konfigurację sieci pod kątem szeregu najlepszych rozwiązań w zakresie zabezpieczeń. Dowiedz się więcej.
Następne kroki
Przeprowadź ocenę i rozpocznij warsztaty dotyczące sieci.