什么是零信任？

如果您是推出零信任架構的公司的 IT 專業(yè)人員，您可能非常了解零信任在您的世界中意味著什么。從更廣泛的角度來看，以下是需要考慮的兩個主要概念：

零信任：一種網(wǎng)絡安全范式，從不隱含授予信任

零信任架構：企業(yè)資源和數(shù)據(jù)安全的端到端方法

零信任的座右銘是“永不信任，始終驗證”。這幾乎可以總結它。

如果您的組織正在推出零信任，則可能會從用戶的身份和訪問管理 （IAM） 開始。從那里，它轉移到連接到網(wǎng)絡的設備，然后通過實施微分段等策略轉移到網(wǎng)絡本身，然后轉向自動化和分析。這些被稱為零信任模型的“支柱”。

零信任體系結構是從基于邊界的安全模型遷移到網(wǎng)絡上的每個人和設備都經(jīng)過端到端身份驗證和授權的安全模型。如果您的公司已經(jīng)走上了這條道路，這不是新聞。不過，可能是新聞的是可信時間?在零信任網(wǎng)絡中發(fā)揮的關鍵作用。讓我們首先從為什么時間很重要開始。

為什么時間很重要

在管理網(wǎng)絡時，全網(wǎng)時間同步的準確性及其在網(wǎng)絡管理和安全中扮演的重要作用通常被認為是理所當然的。如果您不相信，想象一下如果每個網(wǎng)絡設備都有不同的時間會發(fā)生什么。整個網(wǎng)絡將爆發(fā)混亂。日志文件和網(wǎng)絡遙測將毫無用處。日志和遙測時間戳不會關聯(lián)。例如，實時接收但回溯到前一周的系統(tǒng)日志將無濟于事。儀表板會出錯，或者至少顯示不正確的數(shù)據(jù)，并且很可能會觸發(fā)警報。關鍵進程要么開始得太早，要么開始得太晚。網(wǎng)絡取證幾乎是不可能的，審計將毫無意義，視頻時間戳將不正確。說夠了。如您所見，整個公司網(wǎng)絡的時間準確性很重要，而且確實很重要。

由于時間非常重要，因此需要考慮網(wǎng)絡時間同步的時間來源的“什么，誰，何地和何時”。提供網(wǎng)絡時間協(xié)議 （NTP） 時間戳的時間服務器是“什么”。如果“誰”和“哪里”只是來自互聯(lián)網(wǎng)或互聯(lián)網(wǎng)NTP服務器池的時間服務器的IP地址，那么您需要考慮接收的NTP時間戳的“時間”的有效性和脆弱性。不過，這是另一篇博客文章的主題，因為來自互聯(lián)網(wǎng)的空閑時間幾乎違反了零信任的所有原則，不能被視為可信時間。

什么是可信時間?？

假設網(wǎng)絡中有一個 NTP 網(wǎng)絡時間服務器，零信任會引發(fā)兩個關鍵問題。時間是隱式還是顯式信任？時間服務器本身作為連接到網(wǎng)絡的設備，是否與零信任網(wǎng)絡技術兼容？

可信時間意味著時間服務器在時間的準確性和合法性方面是可信的。這也意味著它作為連接到網(wǎng)絡的設備受到信任，并且符合公司的安全要求。

網(wǎng)絡安全團隊對時間服務器的安全功能更感興趣，而不是驗證和驗證時間戳的準確性或帶寬。由于我們的 SyncServer? S600/S650 網(wǎng)絡時間服務器提供無與倫比的計時性能，讓我們討論一下它們的安全屬性。

作為目前可用的最安全的可信時間網(wǎng)絡設備，SyncServer 時間服務器符合零信任模型的基本支柱，包括用戶、設備、網(wǎng)絡、應用程序和分析。

以下信息圖是 NIST 特別出版物 800-207：零信任體系結構中概述的核心組件的簡化表示。它演示了這些支柱如何與 NIST 數(shù)據(jù)平面和控制平面相關。

例如，讓我們討論如何允許數(shù)據(jù)平面中的管理員（用戶支柱）訪問 SyncServer S600 服務器的 Web GUI。第一步是使用控制平面中的 X.509/PKI 基礎結構（設備支柱）向瀏覽器驗證 S600 服務器。服務器通過身份驗證后，管理員通過 RADIUS/TACACS+/LDAP 提交憑據(jù)，以便使用控制平面中的 ID 管理系統(tǒng)進行用戶身份驗證。如果授權訪問，則授予用戶訪問 S600 服務器的 Web GUI 的權限。

有許多方案可以使用SyncServer時間服務器在零信任體系結構中實現(xiàn)可信時間。我們已經(jīng)為其中許多場景創(chuàng)建了信息圖表。在每個圖形中，突出顯示了SyncServer時間服務器中的安全技術和相關的零信任支柱，以便于參考。查看這些信息圖表。

如果您的公司正在向零信任架構邁進，請利用我們的應用說明，該說明解釋了為什么可信時間在零信任網(wǎng)絡中如此重要。這個簡短的文檔解釋了SyncServer S600 / S650時間服務器如何確保時間及其來源的安全性，并符合零信任原則。它包括 S600/S650 服務器安全功能的詳細列表，以及它們?nèi)绾闻c零信任模型的支柱保持一致。您的安全團隊可以使用此有用的檢查列表來確定時間服務器是否符合您的網(wǎng)絡安全要求。

作為最安全的可信時間網(wǎng)絡設備，SyncServer? S600時間服務器非常適合支持零信任計劃。它確保了時間及其來源的安全性，并符合零信任的基本支柱。

審核編輯：郭婷