零信任将网络视为敌对的。必须在用户、设备和服务中建立信任。
介绍
不要相信设备与其访问的服务之间的任何网络,包括本地网络。通过网络进行通信以访问数据或服务,应使用安全传输,例如TLS。应配置设备以防止本地网络上存在的攻击。这包括DNS欺骗、中间人攻击和未经请求的入站连接。
针对基础网络服务(例如DNS)的攻击通常只能通过封装在安全传输中来缓解。例如,应该确保用户访问的服务受到经过身份验证和加密的协议的保护。否则,它们可能仍需要受到现有解决方案的保护,例如公司VPN。
无论选择保护网络服务,都应该能够应用适当的监控。
强制执行设备使用政策
在零信任架构中,网络流量可能无法通过隧道返回中心点,这意味着无法检查和监控Internet流量。因此,需要在设备上实施强制执行Internet浏览策略的传统方法——阻止恶意域和未经授权使用网络协议。恶意URL和网络钓鱼检测等安全Web浏览功能应被视为设备安全功能。
如果无法使用设备安全功能强制执行Internet浏览策略,则可能必须通过托管云服务(例如托管云代理)路由Internet流量。
使用这些服务时,请确保考虑它们的可用性和安全状况。云安全原则可以帮助解决这个问题。
一般网络卫生
虽然网络应该被视为敌对和不受信任的,但保持网络上的网络卫生仍然很重要。例如,监控本地网络的未授权主机和修补网络组件。这将确保网络性能良好且可用。