将威胁保护能力整合到面向设备和虚拟资产的集中式解决方案中 , 并将其中的大部分能力与策略执行和合规监控集成 。
为所有设备和虚拟资产部署了具有先进功能的集中式威胁保护安全解决方案 , 并采用统一方法解决设备威胁保护、策略实施和合规监控 。
可见性和分析
使用物理标签清单和有限的软件监控 , 定期手动查看和分析设备信息 。
使用数字标识符(例如接口地址、数字化标记)、手动清单和终端监控(若可用)来监测设备 。部分设备和虚拟资产能通过自动化分析(例如软件扫描器) , 执行基于风险的异常检测 。
实现清单的自动化采集(包括所有标准用户设备上的终端监控 , 例如台式机、笔记本电脑、手机、平板电脑及其虚拟资产)和异常检测(检测未授权设备) 。
自动化采集所有可接入网络的设备和虚拟资产的状态 , 并与身份关联、执行端点监控和异常检测 , 为资源访问授权提供信息 。跟踪虚拟资产的供应和销毁模式以监测异常 。
自动化和编排
在企业范围内 , 手动完成设备供应、配置和注册 。
使用工具和脚本来自动化处理流程 , 包括设备和虚拟资产的供应、配置、注册和销毁 。
实施了监控和策略执行机制 , 能识别、手动断开或隔离不符合规定(易受攻击、未经验证的证书、未注册的mac地址)的设备和虚拟资产 。
拥有全自动的流程 , 用以实现设备及虚拟资产的供应、注册、监控、隔离、修复和销毁 。
治理
制定了针对传统外设的生命周期策略 , 但依赖人工流程来维护(例如更新、打补丁、杀毒)这些设备 。
制定并实施了设备采购、非传统计算设备和虚拟资产的生命周期策略 , 并定期对设备进行监测和扫描 。
为设备和虚拟资产制定了企业级的生命周期策略 , 包括设备枚举和问责 , 并实现了一些自动实施机制 。
对企业范围内、所有可连接网络的设备和虚拟资产实现了自动化的生命周期策略 。
网络 网络是指一个开放的通信媒介 , 包括传统的通道(如机构内部网络、无线网络和互联网)以及其他通道(如用于传输信息的蜂窝和应用程序级通道等) 。
ZTA实现了从传统的“以边界为中心”的安全方法的改变 , 允许机构管理内部和外部流量、隔离主机、强制加密、分段活动 , 并增强了企业网络的可见性 。ZTA允许在更接近应用程序、数据和其他资源的位置实现安全控制 , 并增强传统的基于网络的保护措施 , 提高了深度防御能力 。
下表列出了零信任架构中“网络”的相关功能和能力 , 及其在可见性与分析、自动化与编排 , 以及治理方面的考虑 。
传统阶段
初始阶段
高级阶段
最佳阶段
网络分段
使用大边界/宏分段来定义网络架构 , 网段内的连通性基本不受约束 。也可能依赖多服务互连(例如 , 不同流量按批量使用VPN隧道)的方案 。
在网络架构对关键工作负载进行隔离 , 按最低权限原则限制连通性 , 并向特定服务互连的网络架构过渡 。
在入向/出向微边界和特定服务互连框架中 , 扩展终端和基于应用程序概要的隔离机制 。
网络架构由完全分布式的入向/出向微边界和基于应用程序概要的微分段组成 , 动态实现即时和适度连通性 , 以实现特定服务的互连 。
网络流量管理(新增)
在服务提供过程中 , 人工实施静态网络规则和配置来管理流量 , 仅具有有限的监控能力(例如应用程序性能监控或异常检测) , 对关键业务应用的配置变更通过人工进行审计和审核 。
建立具有不同流量管理特征的应用程序概述 , 并将所有应用程序映射到这些概述 。将静态规则扩展应用程序到所有应用程序 , 并对应用程序概要进行定期手动审计 。
实施动态网络规则和配置 , 以进行资源优化 , 这些规则和配置根据自动风险感知和具备风险响应的应用程序概述评估和监控 , 定期进行调整 。
推荐阅读
- 出道35年零绯闻,56岁不恋爱不结婚不生子,无父无母孑然一身
- 《暮色心约》 空降遇冷,baby扛不住收视率,任嘉伦零宣传
- 新手零基础跑步,应该跑多久?跑多快?
- 零度等于多少华氏温度
- 北京汽车零部件展会地址 北京汽车零部件展
- 详解公积金提取操作,让您零压力领取
- “刘能”儿子大婚,包1元红包被骂寒酸,赵家班稀零到场太现实!
- 家庭主妇如何理财才能赚到零花钱
- 无尽的拉格朗日新手攻略,无尽的拉格朗日新手如何零氪
- 胡兵白金卡搭机“50万积分突归零”!拍片控诉…航空公司回应了