0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

零信任存储策略的8个最佳实践

存储D1net 来源:企业网D1Net 2023-07-31 14:36 次阅读

企业需要探索如何将零信任安全模型应用于存储系统。考虑到当今的网络威胁形势,额外的数据保护对企业来说至关重要。IT团队必须谨慎执行零信任存储策略,本文介绍了实现这个策略时需要记住的8个最佳实践。

企业在试图保护其数据和存储系统时面临越来越多的挑战。然而,零信任存储策略采用了一种“不相信任何人”的安全方法,这种方法认识到当今数据边界的流动性。

敏感数据不再局限于专用网络,可能存在于多个位置,就像劳动力的工作日益分散一样。IT团队还面临着越来越多的规定如何存储和保护数据的法规,这进一步使数据管理复杂化。传统的网络安全方法已经不能满足当今的许多数据保护需求。

在零信任模型中,在进行敏感资源适当验证之前,所有用户和设备都禁止访问。尽管这种方法可以帮助更好地保护数据,但是实现零信任存储策略需要大量的工作。IT团队为这样的任务准备得越充分,就越有可能部署一个有效的系统来保护数据。

零信任存储策略需要什么?

保护敏感资源的传统方法是基于在IT基础设施周围建立一个强大的边界。基于边界的模型使用防火墙和其他网络安全技术来创建一个城堡和护城河结构,将信任扩展到该边界内的所有用户和设备。尽管基于外围边界的安全在过去运行良好,但基于云的服务、远程工作人员、BYOD计划、边缘计算和物联网设备的持续扩散,已经为敏感数据带来了一系列新的风险。仅保护外围边界已经不足以应对当今日益增多的复杂网络威胁。

零信任安全限制和控制对数据、存储系统和其他资源的访问。零信任模型假设,在用户、设备、服务或其他系统首次连接到网络并在多个点上进行验证之前,任何用户、设备或其他系统都不能被信任。该模型始终使用微分段、系统监控、身份和访问管理等工具,以及定义对存储、数据和其他资源的细粒度控制的全面安全策略,对所有资源保持严格的访问控制。

近年来,由于数据威胁的增加,零信任方法获得了稳定的发展势头。2018年,调研机构Forrester公司推出了零信任扩展生态系统及其七个核心支柱,以实现有效的零信任平台。同年,美国国家标准与技术研究院为实现零信任平台的核心组件提供了广泛的指南。最近,美国联邦政府机构已经采取措施在国家层面实施零信任安全。

零信任平台控制着对企业所有数据的访问,无论是静态数据还是动态数据。该平台还保护与维护这些系统相关的通信和数据。网络中的任何一个点都可能代表一个潜在的漏洞。一个漏洞可能会影响这个点以及其他网络资源,包括存储系统及其数据。出于这个原因,零信任计划必须是整个网络范围的工作,它将存储与所有其他资源结合在一起。

实现零信任存储的最佳实践

IT团队必须谨慎执行零信任存储策略,以下是实现这个策略时需要记住的8个最佳实践。

(1)绘制出敏感数据当前驻留的位置及其流动方式

识别整个保护面,需要保护防范网络攻击的关键数据和系统以及这些系统的入口点。这些信息还应该包括管理员、应用程序和设备之间的通信通道。

对所有数据进行编目,包括数据的位置和存储方式。最后采用一张全面的地图显示所有事物的位置以及它们之间的联系。

(2)评估当前存储和数据安全性

确定适当的存储保护以及企业如何对每个组件应用安全性。识别各种攻击面和顶级漏洞。实施一些清理工作(例如删除旧的或未使用的账户)并应对直接的网络威胁,直到零信任平台完全投入运行。

作为评估的一部分,确定哪些用户或帐户当前被授权访问资源及其访问级别。确定他们连接到资源的端点,何时访问这些资源以及访问这些资源的频率。仔细记录所有发现,以便快速参考和理解访问模式。

(3)验证和识别所有与存储相关的设备和服务

IT团队应该了解存储硬件的类型、存储类型、软件和固件的类型和版本,以及存储网络的详细信息。

IT团队应该能够验证所有连接到其网络的设备。如果没有能够对网络资源进行身份验证、授权和验证的适当标识,任何系统都不应该能够访问网络资源。企业团队应该为每个设备附加一个强大的身份,并确保它只有一个身份,而不是多个身份,他们还应该确保每个设备满足其企业的特定安全要求。

(4)规划和实施网络分段

保护网络的最有用的工具之一是微分段,它将网络划分为控制对数据和资源访问的逻辑组件。微分段减少了直接的网络攻击面,并防止了通过网络的横向移动,这有助于遏制任何数据泄露。IT管理员经常在下一代防火墙中使用微分段,这些防火墙包括入侵防御和深度包检测等高级功能。

即使使用了微分段,IT团队也应该采用零信任策略,将每个渠道都视为潜在威胁,直到事实证明并非如此。它们永远不应该假设同一网络上或彼此物理接近的两个实体之间存在隐含的信任。此外,他们应该保护资源之间的所有通信,以防止窃听并确保这些通信的完整性。IT团队还可以使用软件定义的边界,通过在资源周围形成虚拟边界来控制对资源的访问。

(5)制定并实施细粒度的零信任策略

零信任存储策略的核心是一组策略,这些策略授予用户对特定资源的访问权限,同时禁止所有其他访问。零信任安全策略应该适用于每个人,无论他们在企业中的地位如何,或者他们是否被认为是资源的所有者。除了管理员明确授予的权限之外,用户不应该能够访问任何其他资源。

基于最小权限原则的基本权限,访问仅限于必要的内容,并且只在需要时访问。管理员应该在会话结束后立即撤销访问权限。为了执行这些策略,开发一个框架来管理它们,并在每个入口点应用它们。框架组件应该通过单独的控制平台进行通信,以促进安全通信。

(6)对存储系统和网络进行监控和审计

监视和审计策略应该能够跟踪存储资源,无论是在内部部署、云平台还是在其他环境中。单独评估设备和服务,将它们相互作用的方式联系起来,并关注诸如数据用户访问或他们执行的操作等细节。

IT团队应该设置警报,这样他们就可以立即收到任何可疑活动的通知。他们应该维护活动日志,并持续分析收集到的信息,以确定哪些是有效的,哪些需要改进,哪些可能存在安全漏洞,以及是否存在任何异常行为。IT团队应该自动化监控和审计操作,特别是在实时响应威胁时。这些团队还应该进行渗透测试,并及时掌握威胁情报。

(7)不要相信本地网络

在本地网络上,部署基本的安全措施,加强更大的零信任努力,并为存储和数据提供额外的保护。例如,加密所有静态和动态数据。

IT部门应使用多因素身份验证、单点登录和IAM等工具,进一步提高安全性。零信任存储策略应该包括一个备份和恢复平台,该平台集成了与其他资源相同的保护措施。备份数据的至少一个副本应该是不可变的和气隙的,以防止可能的篡改。企业还应该考虑其他步骤来防止数据丢失,例如应用程序允许列表和物理保护设备免受潜在威胁攻击。

(8)不要忘记最终用户

最终用户在有效的零信任存储策略的成败中起着至关重要的作用。IT团队应该解释他们为什么需要实施该策略及其潜在影响。这不仅能让他们更好地为不可避免的变化做好准备,而且还提供了一个机会,让他们了解潜在的安全风险,以及如何帮助保护数据。

最终用户访问数据、存储系统和其他网络资源的体验是关键。如果用户在尝试执行任务时面对大量的多因素身份验证步骤,他们就会变得越来越沮丧,可能会达到几乎不看提示或通知的程度。用户与安全系统的交互应该尽可能简化和直接,而不会使他们的工作变得更加困难。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 存储
    +关注

    关注

    13

    文章

    4248

    浏览量

    85631
  • 网络安全
    +关注

    关注

    10

    文章

    3119

    浏览量

    59570
  • 模型
    +关注

    关注

    1

    文章

    3143

    浏览量

    48679

原文标题:零信任存储策略的8个最佳实践

文章出处:【微信号:D1Net11,微信公众号:存储D1net】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    构建便捷海外IP代理池:策略实践

    构建便捷海外IP代理池是一涉及多方面策略实践的过程。
    的头像 发表于 11-14 07:34 62次阅读

    4G模组之UDP应用的最佳实践

    今天说的是4G模组之UDP应用,展示最佳实践,送你参考。
    的头像 发表于 11-08 09:24 156次阅读
    4G模组之UDP应用的<b class='flag-5'>最佳</b><b class='flag-5'>实践</b>!

    简单认识芯盾时代信任业务安全平台

    近年来,我国信任网络访问市场保持高速增长态势。IDC报告显示,2023年中国信任网络访问解决方案市场的规模达23.3亿元,同比增长25.5%。
    的头像 发表于 11-01 16:28 197次阅读

    MES系统的最佳实践案例

    效率、降低成本、保证产品质量。 MES系统的最佳实践案例 引言 在当今竞争激烈的制造业环境中,企业必须不断寻求创新和改进的方法来保持竞争力。MES系统作为一种关键的信息技术工具,已经被广泛应用于各种制造行业,以实现生产过程的优化和管理。本文将探讨MES系统的
    的头像 发表于 10-27 09:33 518次阅读

    边缘计算架构设计最佳实践

    边缘计算架构设计最佳实践涉及多个方面,以下是一些关键要素和最佳实践建议: 一、核心组件与架构设计 边缘设备与网关 边缘设备 :包括各种嵌入式设备、传感器、智能手机、智能摄像头等,负责采
    的头像 发表于 10-24 14:17 335次阅读

    云计算平台的最佳实践

    云计算平台的最佳实践涉及多个方面,以确保高效、安全、可扩展和成本优化的云环境。以下是一些关键的最佳实践: 一、云成本优化 详细分析云使用情况 :通过细致的监控和分析,识别低ROI(投资
    的头像 发表于 10-24 09:17 296次阅读

    衰减 AMC3301 系列辐射发射 EMI 的最佳实践

    电子发烧友网站提供《衰减 AMC3301 系列辐射发射 EMI 的最佳实践.pdf》资料免费下载
    发表于 09-11 09:59 0次下载
    衰减 AMC3301 系列辐射发射 EMI 的<b class='flag-5'>最佳</b><b class='flag-5'>实践</b>

    毫米波雷达器件的放置和角度最佳实践应用

    电子发烧友网站提供《毫米波雷达器件的放置和角度最佳实践应用.pdf》资料免费下载
    发表于 09-09 09:57 1次下载
    毫米波雷达器件的放置和角度<b class='flag-5'>最佳</b><b class='flag-5'>实践</b>应用

    电机驱动器电路板布局的最佳实践

    电子发烧友网站提供《电机驱动器电路板布局的最佳实践.pdf》资料免费下载
    发表于 09-05 11:33 10次下载
    电机驱动器电路板布局的<b class='flag-5'>最佳</b><b class='flag-5'>实践</b>

    芯盾时代入选《现代企业信任网络建设应用指南》

    近日,国内知名网络安全媒体安全牛重磅发布了《现代企业信任网络建设应用指南(2024版)》报告(以下简称“报告”)。芯盾时代凭借在信任市场卓越的品牌影响力、领先的产品方案、丰富的
    的头像 发表于 08-28 09:45 425次阅读

    RTOS开发最佳实践

    基于RTOS编写应用程序时,有一些要注意事项。在本节中,您将学习RTOS开发最佳实践,例如POSIX合规性、安全性和功能安全认证。
    的头像 发表于 08-20 11:24 397次阅读

    以守为攻,信任安全防护能力的新范式

    引言 在当今的数字化时代,网络安全已成为各个组织面临的一项重大挑战。随着技术的快速发展,攻击手段也在不断演变和升级,传统的安全防御策略已经无法完全应对新兴的安全威胁。在这种背景下,信任安全
    的头像 发表于 05-27 10:18 916次阅读
    以守为攻,<b class='flag-5'>零</b><b class='flag-5'>信任</b>安全防护能力的新范式

    什么是信任信任的应用场景和部署模式

      信任是新一代网络安全理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。 一、
    的头像 发表于 03-28 10:44 2419次阅读

    静电ESD整改实践:从基础到高级的应对策略

    静电ESD整改实践:从基础到高级的应对策略?|深圳比创达电子EMC
    的头像 发表于 02-19 14:41 732次阅读
    静电ESD整改<b class='flag-5'>实践</b>:从基础到高级的应对<b class='flag-5'>策略</b>?

    中山市政务服务数据管理局联合华为发布《中山市终端信任实践白皮书》

    [中国,广州,2023年12月8日] 第二届广东数字政府峰会期间,“网络与信息安全”专题论坛成功举办。会上,中山市政务服务数据管理局联合华为正式发布《中山市终端信任实践白皮书》(以下
    的头像 发表于 12-08 19:45 666次阅读