原創 Allan Zhang
Zero Trust的前世今生
大約10年前,Google開創了一種名為BeyondCorp的安全模型,該模型將應用程式訪問與網路訪問分開,並著重於使用者身份驗證和設備驗證。該模型取代了他們的公司VPN,其設計基於對網路內部與外部的安全性的同等關注。 當CDN廠商Akamai在2010年左右受到攻擊並開始設計類似的安全對策時,該模型進一步普及。Google稱其為零信任模型BeyondCorp,從而在業界贏得了青睞。它提醒我們,所有組織都需要基於自己的資產、應用程式、資料、業務驅動、使用者特徵和風險特徵等設計自己的零信任模型。
零信任安全模型不是一種單一的技術
| 它是一組不斷發展的安全範例。它利用了強大的身份驗證、編排、分析、加密、評估和檔案系統許可權。零信任模型的核心原則是特權訪問管理(PAM),其中用戶具有即時存取權限和足夠存取權限(JIT + JEA)以完成給定任務。這將用戶體驗與安全性直接聯繫在一起。 |
在Citrix,我們一直強調以人為本的安全方法,它是我們解決方案的核心。目前,“隨時、隨地、任何設備”的理念又進一步擴展到“任何雲”,並繼續成為我們設計的解決方案的核心。
在這個由兩部分組成的博客系列中,我將介紹Citrix解決方案如何説明您逐步實現在組織內部部署真正的零信任安全模型的過程。
定義零信任安全模型
您不能從供應商處購買零信任安全模型。它的設計必須適合您組織的特定要求。但這並不意味著您必須從頭開始(並購買新的IT資產)。您可能已經擁有重新設計所需的解決方案, 您只需要重新考慮,如何定義使用者訪問組織系統(如應用程式、資料、桌面、設備等)時的許可權的管理策略的執行即可。 考慮到過渡到混合多雲架構的趨勢,瞭解您組織特定的暴露風險很重要,請記住傳統的網路邊界線正在逐漸模糊。
Citrix可以做什麼?
您是否使用Citrix Virtual Apps and Desktops和Citrix ADC交付Web和非Web應用程式?如果是這樣,您將需要認真研究多因素身份驗證以進行有條件身份驗證,以及Smart Access和SmartControl策略(Citrix ADC上的會話策略以及Citrix Studio上的訪問篩檢程式)以進行有條件訪問,以便為所有Citrix使用者提供基於狀態的存取機制 。在執行零信任模型時,“注入”使用者和資料之間單獨的安全的、受監控的跳轉點的能力至關重要。Citrix Virtual Apps and Desktops完全可以實現以下目的:您可以在支援舊版應用程式的同時設計零信任。 如果要將一部分資源遷移到雲上,並且要處於混合雲方案中,請確保在本地定義的策略與為雲環境定義的策略一致。在此,Citrix Cloud上的CitrixVirtual Apps and Desktops服務可以説明簡化跨混合多雲環境的策略實施。CitrixADC可以在本地和雲託管的環境中提供相同的功能,這也是在混合多雲環境中實施一組一致的配置的最佳助手。 如果您採用的是SaaS應用程式,請確保管理策略與本地應用程式一致。Citrix Access Control服務,Citrix Secure Browser服務和Citrix Gateway服務可以確保對於SaaS、Internet應用和企業內部 Web應用,在實施虛擬桌面和虛擬應用的資料洩露保護策略(控制剪貼板,印表機訪問,浮水印等)上完全一致。
瞭解您的用戶
如果不瞭解您的使用者如何與系統進行交互,就不可能實施零信任安全模型。您必須瞭解用戶體驗,並且必須在創建自己的零信任安全模型時根據定義的策略重新定義用戶體驗。 您必須協調安全團隊和應用程式所有者團隊之間的良好溝通,才能將集中式治理策略與特定于應用程式的安全性原則結合在一起,同時保持用戶體驗為中心。這也有助於確保那些首先使用這些應用程式的業務驅動者,與您一起擁抱一個新的零信任世界時。適當的風險管理措施和用戶分類是此過程中的重要步驟。 當您採用零信任模型時,最重要的是要注意多因素認證,這是對“您擁有什麼,您知道什麼以及您是什麼”的驗證。零信任模型會添加“您可以訪問的內容”。從零信任的角度來看,多因素認證也是朝著實現無密碼身份驗證(基於所有權+用戶驗證)的方向邁出的一步。Citrix如何提供幫助? Citrix ADC允許與大多數現有身份驗證協定集成。在企業環境中,最好利用多因素認證作為身份代理來授權和授予以及限制和阻止對用戶請求資源的訪問。 借助Citrix Workspace與提供此功能的IAM解決方案的集成,Citrix Workspace客戶可以省卻密碼並使用生物識別技術進行身份驗證。Microsoft最近發佈了對基於Azure AD的FIDO2登錄的支援。而且由於Citrix Workspace已經與AzureAD集成,這為客戶向無密碼的未來邁進提供了另一種選擇,可減輕與不良密碼管理相關的風險,並提供更安全的密碼替代方法。 如果您通過發佈流覽器來交付大量Web應用程式,則可能需要考慮通過使用Citrix Secure Browser服務和/或Citrix Access Control服務交付這些應用程式來提高效率。 此外,Citrix Analytics(分析)提供了一個儀錶板,可幫助您瞭解特定於用戶的基線以及更改使用者行為,設備信任情況和網路狀況。這可説明您根據不斷變化的條件來及時調整安全性原則,同時使用閉環分析(零信任安全模型的核心原則)提供及時的保護。這種增強的可見性和自動化的策略執行對於確保及時識別和持續評估威脅並保護最終使用者的應用程式、桌面、檔和設備至關重要,同時又不影響性能和使用者生產力,這是必不可少的。
下一步是什麼?
在本文中,我想幫助您瞭解零信任安全模型,介紹創建組織所獨有的框架的兩個基本步驟,並說明Citrix解決方案如何提供幫助。第二篇文章將介紹如何為您的組織建立零信任的安全模型,以及如何重新訪問存取安全體系結構以及將信任分配給使用者和設備的方法。我還將詳細介紹Citrix解決方案如何提供幫助。敬請關注!
發表迴響