实施不断演变的动态网络规则和配置 , 以满足应用程序概述的需求 , 根据关键任务、风险等因素重新确定应用程序优先级 。
流量加密(原加密)
对少量流量实施加密 , 并依靠手动或临时流程来管理和保护加密密钥 。
对所有流向内部应用程序的流量进行加密 , 对外部应用的流量进行尽可能的加密 , 规范化密钥管理策略 , 并保护服务器/服务的加密密钥 。
所有应用程序的内部和外部流量均使用协议加密 , 对密钥和证书的签发和更换实施管理 , 并引入密码敏捷实践 。
持续根据需求加密流量 , 在企业范围执行最低权限原则 , 以保证密钥的安全管理 , 并尽可能广泛地采用密码敏捷实践 。
网络弹性(新增)
根据单个应用程序的可用性需求 , 按个案配置网络能力 , 只能提供适用于非关键任务负载的有限弹性 。
通过配置网络能力 , 管理其他应用程序的可用性要求 , 并扩展非关键任务负载的弹性机制 。
网络功能的配置能动态管理大部分应用程序的可用性需求和弹性机制 。
能感知所有工作负载的可用性需求变化 , 并集成全面的交付 , 提供相应的弹性机制 。
可见性和分析
通过以网络边界为中心的有限监控和分析 , 开始开发集中式的态势感知 。
采用基于已知入侵指标(包括网络枚举)的网络监控 , 在每个网络环境中开发态势感知 , 并将各种环境中的不同流量关联起来 , 进行分析和威胁检测 。
通过基于异常的网络检测能力 , 在所有环境中开发态势感知 , 并将多来源的监测信息进行关联以进行分析 , 并采用自动化流程进行强大的威胁猎杀 。
在启用企业范围态势感知和监控能力的同时 , 维持对所有网络和环境中的通信可见性 , 并自动对所有检测源的监测信息进行关联 。
自动化和编排
使用手动流程来管理网络、环境的配置和资源生命周期 , 定期整合策略要求和态势感知 。
使用自动化方法来管理某些网络、环境的配置和资源生命周期 , 并确保所有资源都基于策略和监测数据定义了生命周期 。
使用自动化的变更管理方法(如CI/CD)来管理所有网络、环境的配置和资源生命周期 , 能够对感知到的风险进行响应、执行策略和保护 。
网络和环境由基础设施即代码(IoC)来定义 , 并实现自动化的变更管理方法 , 包括自动的初始化和过期失效 , 以应对不断变化的需求 。
治理
通过以边界保护为中心的方法 , 实施静态的网络策略(访问、协议、分段、警告和修复) 。
针对每个网络分段和资源制定并实施相应的策略 , 并适当沿用企业级策略规则 。
在实施个性化策略时引入了自动化 , 促进从聚焦边界的保护向未来过渡 。
实施企业范围的网络策略 , 使基于应用和用户工作流的策略定制、局部控制、动态更新和安全外连成为可能 。
应用程序和工作负载 应用程序和工作负载包括在本地环境、移动设备和云环境中运行的系统、计算机程序和服务 。
各机构应管理和保护其部署的应用程序 , 并确保安全的应用程序交付 。细粒度访问控制和集成的威胁防护可以提供增强的态势感知 , 并减轻特定于应用程序的威胁 。各机构还应探索一些新的选择 , 将运营重点从认证边界和更新ATO(Authorization to Operate) , 逐渐转向对应用程序自身的支持 , 使其无论是从内部访问 , 还是从外部访问都具有相同的安全性 。
下表列出了零信任架构中“应用程序和工作负载”的相关功能和能力 , 及其在可见性与分析、自动化与编排 , 以及治理方面的考虑 。
传统阶段
初始阶段
高级阶段
最佳阶段
应用访问(原访问授权)
推荐阅读
- 出道35年零绯闻,56岁不恋爱不结婚不生子,无父无母孑然一身
- 《暮色心约》 空降遇冷,baby扛不住收视率,任嘉伦零宣传
- 新手零基础跑步,应该跑多久?跑多快?
- 零度等于多少华氏温度
- 北京汽车零部件展会地址 北京汽车零部件展
- 详解公积金提取操作,让您零压力领取
- “刘能”儿子大婚,包1元红包被骂寒酸,赵家班稀零到场太现实!
- 家庭主妇如何理财才能赚到零花钱
- 无尽的拉格朗日新手攻略,无尽的拉格朗日新手如何零氪
- 胡兵白金卡搭机“50万积分突归零”!拍片控诉…航空公司回应了