维护 OpenSSL 的团队在周二披露了两个影响最新版本软件的漏洞,OpenSSL
是广泛使用的开源软件的关键部分,用于为互联网通信提供加密。
然而,在上周的提醒公告中最初将这些漏洞评为“严重”之后,新漏洞已被降级为“高”严重等级,尽管仍敦促管理员快速修补系统。
OpenSSL 项目团队上周透露,将在 11 月 1
日公布一个新漏洞,但没有提供具体细节。由于 OpenSSL
的无处不在以及该软件中先前披露的关键漏洞(2014 年的 Heartbleed
漏洞)的巨大影响,该公告在网络安全界引起了极大关注。 据 Firefox
称,OpenSSL 通过为 HTTPS
协议提供底层技术来实现安全的互联网通信,目前全球 82% 的页面加载都使用
OpenSSL 。Heartbleed
漏洞影响了大量主要网站,并导致了包括加拿大数百个社会保险号码被盗在内的攻击,这导致加拿大税务局关闭了一个纳税申报网站。
该漏洞仅影响 OpenSSL 3.0 及更高版本。来自网络安全供应商 Wiz
的数据表明,只有 1.5% 的 OpenSSL 实例受到该漏洞的影响。 这至少部分是由于
OpenSSL 3.0 ...
越来越多的极端天气威胁着数据中心和云计算客户最优先考虑的事情之一:可靠性。
数据中心运营商长期以来一直在计划应对一些气候风险,但气候变化正在增加极端事件发生的几率,并将新事件纳入其中。这为运营商创造了一种清算方式,他们可能不得不重新评估从新数据中心的选址到物理加固基础设施以及将工作负载分散到多个区域的所有事情。
为商业基础设施公司提供可靠性建议的 Uptime Institute 于 2019
年进行的一项调查显示,云计算行业的很大一部分正在对气候变化带来的威胁做出反应,或者更糟糕的是,根本不采取任何行动。在做出回应的近
500
家数据中心运营商中,近三分之一表示他们最近没有审查风险,也没有计划这样做。与此同时,只有
22% 的人表示他们“正在为越来越多的恶劣天气事件做准备”。 Uptime Institute
的可持续发展研究主管 Jay Dietrich
表示,大型数据中心公司通常有资源进行更定期的风险评估,并为气候变化将如何影响运营做好准备,从可能增加停电风险的风暴到可能使问题复杂化的干旱获得水进行冷却。与此同时,规模较小的公司往往会更加被动,尽管他们遭受的损失最大。
“如果我 ...
零信任是一种全新的网络安全防护理念。
零信任基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。它是一个全面的安全模型,它涵盖了网络安全、应用安全、数据安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。
简而言之,零信任将每个人和一切都视为敌对,在零信任模式下,企业网络内外的任何人、设备和系统都需要“持续验证,永不信任”,基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
万物互联时代,网络边界泛化带来诸多的安全风险,零信任“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型,通过零信任,可以防止恶意用户在企业边界内部访问私有资源、防止数据泄露以及恶意操作,因此其受到追捧。
零信任的三大核心技术是软件定义边界、身份权限管理、微隔离。
一直以来,IT
行业一直是用周边安全策略保护例如用户数据和知识产权这类最有价值的资源。这些安全策略主要是通过使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。
随着云计算、大数据、物联网等新兴技术的不断兴起,企业 IT
架构正在从“有边界 ...
零信任模型需要场景
因此,安全团队必须收集并使用来自整个企业的信息,以创建快速决定每个连接的可信赖度所需的场景。
持续执行时,此模型可帮助企业加快安全授权连接的过程。
它支持合适的用户在合适的条件下获得对合适数据的合适访问权。
以下四个零信任原则建立了在安全工具之间共享场景的治理模型,以保护用户的连接、数据和资源。
定义上下文
了解用户、数据和资源,以创建与企业一致的协调安全策略。
这个过程需要基于风险发现和分类资源,定义细粒度的资源边界,并根据角色和职责分隔用户。
验证和实施
通过快速、一致地验证场景并强制实施策略,以保护企业。
这一细节需要针对公司策略中定义的条件,积极监视和验证所有访问请求,以快速、一致地授予对合适资源的访问权限。
解决事件
通过采取有针对性的操作,在对业务影响最小的情况下解决安全违例。
此作业需要进行准备并采取有针对性的操作,例如,撤销个别用户或设备的访问权,调整网络分段,隔离用户,擦除设备,创建事件凭单,或生成合规报告。
分析和改进
通过调整策略和实践以做出更快、更明智的决策,从而不断提高安全态势。
此操作需要持续评估和调整策略、授权操作和修复手段,以缩小每个 ...
减少勒索软件攻击
组织机构正在转型实施零信任策略,以实现安全保护现代化,并防止勒索软件攻击。
零信任策略持续对用户进行验证,当出现安全漏洞时,可有助于减少数据泄露的情形。
保护混合云
要保护企业增长、组织转型以及混合云的所有优势,您需要将零信任策略作为着力点,以现代化的思维重新设计企业安全的架构。
保障混合、远程办公员工的网络安全
企业的安全模型应能确保员工能够在任何位置使用任何设备办公,同时能够访问任何生态系统中的工具和数据。
安全模型应可实时提供各域的上下文信息,完美匹配零信任安全策略。
由于企业需要允许多个用户访问公司的资源,尽管这些员工、合作伙伴、客户和消费者的目标和需求不同,但他们都需要某种级别的权限来访问企业信息。
因此,企业需要管理的连接和资源繁复无比,用户验证也进而变得非常复杂。
迁移至混合、多云的基础架构意味着您的资源也可能分散在多个配置不同层次的可视化和控制度管理的
IT 环境中。
您很难明确知晓:是否是正确的用户拥有正确的权限来访问正确的数据。
您需要利用上下文信息来帮助自己做出正确的决定。
同样令人担忧的还有普遍存在的恶意行为,例如勒索软件和网络钓鱼;这些恶意行为会让您的网络、数字资产和业务面临风险。
根据《IBM 数据泄露成本报告》所示,相关损失成本比去年增加了 10%。 IBM
零信任安全策略可帮助组织提高网络弹性,控制业务环境断开连接的风险,同时仍然允许用户访问适当的资源。
这是一种在正确的时间和条件下应用上下文信息的模式和计划,旨在确保让正确的用户能够安全连接至正确的数据,同时还能保护组织免于遭受网络威胁。
零信任需要安全能力和体验的广泛组合:身份、数据、设备和工作负载、分析和可视性、自动化和编排,以及网络和端点。
身份
定义并管理零信任安全策略,以通过
SSO、多因子认证和生命周期管理功能来管理所有用户和特权帐户的访问权。
数据
使用零信任安全实践保护关键数据。
根据风险发现、分类和管理数据访问。
设备和工作负载
通过各种零信任安全实践(从利用安全原则设计的应用程序到监视和管理端点)保卫企业。
分析和可见性
监视并强制实施带有智能分析的零信任安全策略。
查看并监视企业中进行连接的所有用户、资源和数据的行为。
自动化和编排
通过编排的操作和常用运行手册,快速解决在零信任实践过程中出现的安全问题并对其进行迭代。
网络和端点
应用公认的技能、专业知识和现代解决方案,以保护网络、基础结构和端点免受当今网络安全威胁的影响。
信域安全云网遵循零信任安全原则设计,是零信任网络的一种简单、快速的实现方案。
企业落地零信任的本质就是从传统边界型 IP 网络升级为分布式 ID
网络(身份网络),无论是网络访问控制还是基于网络的行为分析,都不再依赖
IP 地址,而是始终聚焦身份。
零信任实际就是对 IP
地址不再信任,在一个快速变化、全球分布的网络中,IP
地址本身既无法代表个人也没有安全状态的内涵,以 IP
地址为要素进行访问控制或行为研判已经没有任何意义,因此要把访问控制的核心要素从
IP 地址转变为实体身份。
零信任的核心变革就是让企业网从 IP 网络升级到 ID
网络。
信域安全云网的点对点云化网格架构、网络数据包的身份化、基于身份的分布式访问控制引擎等特性为企业提供了一个天然的零信任网络环境,让企业落地零信任变得更加容易。
信域安全云网实现零信任网络的核心原则的方法如下:
原则 1: 身份是访问控制的基础
传统边界网络模型里,网络访问控制基于 IP
地址设计和执行。但在分布式企业里,网络变得越来越碎片化,员工可能从任意位置接入并访问业务资源。网络
IP
地址只能代表网络位置,并不能代表人或者终端,在分布式 ...
零信任体系结构于 2010 年由时任 Forrester Research 首席分析师的 John
Kindervag 开发,是一个广泛的框架,承诺有效保护企业最有价值的资产。
其工作原理是假设每一个连接和端点都被视为威胁。
该框架针对这些威胁进行防护,无论是外部还是内部威胁,甚至是那些已经在内部的连接。
简而言之,就是一个零信任的网络:
记录并查看所有企业网络流量
限制和控制对网络的访问
验证和保护网络资源
为了进行扩展,零信任安全模型会确保数据和资源在缺省情况下不可访问。
用户只能在合适的情况下进行有限的访问,称为最小特权访问。
零信任安全模型会验证和授权每一个连接,例如在用户通过应用程序编程接口
(API) 连接到应用程序时,或软件通过 API 连接到数据集时。
这可确保交互符合企业的安全策略的有条件需求。
零信任安全策略还会使用来自尽可能多的数据源的上下文,基于动态策略认证和授权每一个设备、网络流和连接。
为了成功实现零信任体系结构,企业需要连接来自每个安全域的信息。
整个公司的安全团队必须就优先事项达成一致,并相应调整访问策略。
他们必须保护整个企业中的所有连接,从数据到 ...
零信任的概念最早是在 2010 年由当时的 Forrester 分析师 John Kindervag
提出。零信任承认了在分布式网络环境下传统边界安全架构的不足,认为主机无论处于网络什么位置,都应当被视为互联网主机,它们所在的网络,无论是互联网还是内部网络,都必须被视为充满威胁的危险网络。
零信任的核心思想是:默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。
零信任网络的核心原则包含以下五个方面:
身份是访问控制的基础
信任来自于端到端所有对象的身份,基于身份而非网络位置构建访问控制。
最小权限原则
资源可见和访问按需分配,仅授予执行任务所需的最小特权。
实时计算访问控制策略
根据主客体信任评估和访问需求进行策略计算,并持续评估以保证策略实时变更。
资源受控安全访问
所有业务场景下全部资源基于单个访问请求连接,进行强制身份识别和授权、鉴权和通道加密。
基于多源数据进行信任等级持续评估
包括身份、访问上下文等的实时多源数据的多样性和可靠性,提升信任评估策略计算能力。
零信任主张安全体系架构从网络中心化转变为身份中心化, ...