保护关键数据的挑战日益严峻,尤其是在移动和基于云的工作环境时代,这促使越来越多的联邦机构转向零信任安全模型,以更好地满足他们在这个数字化世界中的需求。
根据最近的一项调查,近一半的联邦政府 IT 主管报告说,他们的机构正在转向以身份为中心或零信任的安全策略来保护他们的数字资源。 这项研究由 FedScoop 制作并由 Duo Security 承保,研究发现,联邦机构正在摆脱传统的网络边界防御策略,转而更加开放地接受使用身份和身份验证工具作为主要访问手段的无边界数据环境。
没有什么比最近的《网络安全行政命令》更能说明零信任的加速发展势头及其随后的采用,该命令强调了它的重要性,尤其是白宫最近发布了其零信任架构战略的最终版本——旨在大幅提高政府机构系统的网络安全在未来几年。 这种转变伴随着多云环境和远程工作者的急剧增加,这是现代工作环境的两个组成部分,零信任模型很好地解决了这两个问题。
联邦机构和整个商业世界都在加速使用零信任模型,与此同时,人们越来越意识到传统的保护网络边界的方法已不再足够。 由于在定义的边界内不再存在可信网络,“信任但要验证”的方法已经过时。 相反,联邦安全团队需要遵守三个更有效的原则:
F5 最近被指定为与 NIST 的 NCCoE 合作实施零信任架构项目的18 家供应商之一,旨在开发设计和构建零信任架构的实用、可互操作的方法来。 我们在与处于零信任采用前线的顶级联邦组织合作方面拥有深厚的专业知识,有助于解决这些重要问题。 F5 广泛的应用安全产品组合涵盖零信任架构内的四个关键控制点,如下所述:
F5 实验室报告称,2020 年与访问相关的违规行为占已知违规原因的最大比例,为 34%。 在访问相关违规行为日益增多的时代,可信的应用访问解决方案至关重要。
F5 BIG-IP 访问策略管理器 (APM)为所有应用程序提供现代身份验证,无论用户及其应用程序位于何处,均可简化和集中对应用程序、API 和数据的访问。 无论应用程序位于本地还是云端,都可以通过 SSO 获得更好的用户体验,并通过零信任架构在更安全的环境中获得通用的用户体验。
借助身份感知代理 (IAP),APM 部署了零信任模型验证,以保护每个应用程序访问请求。 在联邦机构中,验证特权用户身份的过程始于 APM 显示美国。 政府向用户发出警告横幅,要求用户接受才能继续进行身份验证。 APM 还使用多种不同的选项向用户请求强凭证,例如根据证书吊销列表或在线证书状态协议服务器进行检查,以确保凭证没有被吊销。
一旦特权用户被允许访问系统,APM 将查询其他属性来确定用户可以访问哪些资源。 还有一些高级功能可以确保客户端的完整性,例如验证客户端是否使用政府提供的设备 (GFE)、是否遵守基于主机的安全系统 (HBSS) 和/或是否运行受支持的操作系统。
需要网络基础设施来确保应用程序的安全并可用于实现零信任。 F5 Labs 的研究显示,近 90% 的页面加载都使用 SSL/TLS 加密,这意味着加密如今已成为常态。 尽管如此,加密威胁仍然存在。 事实上,攻击者通常使用加密来隐藏恶意负载并绕过安全控制。
考虑采用SSL 可见性解决方案,通过集中加密控制对入站和出站 SSL/TLS 流量进行强大的解密/加密,从而消除威胁。 该解决方案应提供基于策略的编排,以消除盲点,并提供基于策略的编排,使任何网络拓扑、设备或应用在整个安全链中实现经济高效的可视性。
我们的 F5 实验室研究表明,组织平均部署 765 个应用程序。 由于网络攻击者拥有如此多的潜在目标,因此作为零信任策略的一部分,机构需要保持警惕,保护这些应用程序。
您的应用层安全解决方案(无论应用程序是在云中、本地、基于 SaaS 还是完全托管)都应在应用处或附近提供安全性,并在零信任架构中保护应用堆栈。
您的联邦 WAF 解决方案还应通过行为分析来持续监控应用程序的运行状况,以防范第 7 层 DoS 攻击。 其他功能应包括凭证保护,以防止未授权访问用户帐户并保护应用程序免受 API 攻击。
考虑部署与Microsoft 、 Okta和Ping等组织建立了深度合作关系的提供商的解决方案。 通过将可信应用程序访问解决方案与这些身份即服务 (IDaaS) 提供商相结合,您可以弥合基于云、SaaS、关键任务和自定义应用之间的身份差距,为用户提供统一、安全的访问体验。
联邦机构同样需要建立强有力的合作伙伴关系,以确保成功部署零信任。 我们邀请您与我们联系以获取您所需的专业知识和解决方案。 我们的目标是帮助您尽可能无缝地转向零信任,以便您可以开始从中获益,从而改善您的机构。
比尔·丘奇
F5 美国联邦解决方案首席技术官
(该内容的先前版本于 2020 年末发布。 2022 年初更新。)