在本篇文章中,我们将讨论为什么推出零信任架构的信息技术(IT)专业人员应特别关注网络与支持该网络的时间服务器的精确时间同步。 什么是零信任?如果您是推出零信任架构的公司的IT专业人员,那么可能很清楚零信任在相关领域中的意义。从更广泛的角度来看,需要考虑以下两个主要概念:
- 零信任:一种永远不会隐式授予信任的网络安全模型
- 零信任架构:一种面向企业资源和数据安全的端到端方法
零信任的原则是“永不信任,始终验证”。这基本上全面解释了零信任。 如果您的组织正在实行零信任策略,那么起点很可能是用户的身份和访问管理(IAM)。之后,它会转移到连接至网络的设备,然后通过实施微分段等策略进入到网络本身,接着继续进行自动化和分析。这些称为零信任模型的“要素”。 零信任架构是从基于边界的安全模型迁移到网络上的每个人和设备都经过端到端身份验证和授权的模型。如果您的公司已经采取这种措施,那么这就不是什么新鲜事了。不过,可能需要关注Trusted Time™在零信任网络中所发挥的关键作用。首先,我们来了解一下为什么时间很重要。 为什么时间至关重要在管理网络时,整个网络时间的同步精度及其在网络管理和安全方面发挥的重要作用往往不被重视。如果您不相信,想象一下每个网络设备具有不同的时间时会发生什么。整个网络都会陷入混乱。日志文件和网络遥测将毫无用处。日志和遥测时间戳没有关联。例如,实时接收但回溯到前一周的系统日志将无意义。仪表板会出现故障,或者至少显示不正确的数据,而且很可能会触发报警。关键流程要么启动得太早,要么启动得太晚。网络取证几乎无法实现,审计将毫无意义,视频时间戳也不再正确。诸如此类。如您所见,整个公司网络的时间精度确实极其重要。 由于时间的重要性,需要考虑用于网络时间同步的时间来源的“什么、谁、何地和何时”。提供网络时间协议(NTP)时间戳的时间服务器是“什么”。如果“谁”和“何地”仅仅是来自互联网或互联网NTP服务器池的时间服务器的IP地址,则需要考虑所接收NTP时间戳的“何时”的有效性和漏洞。不过,这是另一篇博文的主题,因为互联网上的空闲时间几乎违反了零信任的所有原则,不能被视为可信时间。 什么是Trusted Time™?假设网络中有一台 NTP网络时间服务器,零信任会引发两个关键问题。时间是隐式还是显式可信?作为连接到网络的设备,时间服务器本身是否与零信任网络技术兼容? Trusted Time意味着时间服务器在时间的精度和合法性方面是可信的。这也意味着它作为连接到网络的设备是可信的,并且符合公司的安全要求。 作为目前可用的最安全Trusted Time网络设备,SyncServer时间服务器符合零信任模型的基本要素要求,其中包括用户、设备、网络、应用程序和分析。 file:///C:/Users/A13591/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg 以下信息图是NIST Special Publication 800-207: Zero Trust Architecture中概述的核心组件的简化表示。它演示了这些要素如何与NIST数据平面和控制平面相关联。 file:///C:/Users/A13591/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg 例如,我们讨论如何允许数据平面中的管理员(用户要素)访问 SyncServer S600服务器的Web GUI。第一步是使用控制平面中的X.509/PKI基础设施(设备要素)向浏览器验证S600服务器。在服务器经过验证后,管理员通过RADIUS/TACACS+/LDAP提交凭据,以在控制平面中使用ID管理系统对用户进行身份验证。如果访问得到授权,则授权用户访问S600服务器的Web GUI。 file:///C:/Users/A13591/AppData/Local/Temp/msohtmlclip1/01/clip_image006.jpg 有许多使用SyncServer时间服务器在零信任架构中实现Trusted Time的场景。我们为其中许多场景创建了信息图。在每个图形中,我们突出显示了SyncServer时间服务器中的安全技术和相关的零信任要素,以方便用户参考。查看这些 信息图。 如果您的公司正在转向零信任架构,请阅读我们的 应用笔记,了解为什么Trusted Time在零信任网络中如此重要。这篇简短的文档介绍了SyncServerS600/S650时间服务器如何确保时间及其来源的安全性并遵守零信任原则。其中包括S600/S650服务器安全功能的详细列表,以及它们如何与零信任模型的要素保持一致。您的安全团队可以使用这个有用的清单来确定时间服务器是否符合网络的安全要求。 file:///C:/Users/A13591/AppData/Local/Temp/msohtmlclip1/01/clip_image008.jpg 作为最安全的可信时间网络设备,SyncServer® S600时间服务器非常适合为零信任措施提供支持。它可确保时间及其来源的安全性,并遵守零信任的基本要素要求。 浏览以下链接,了解有关零信任网络的Trusted Time的更多信息:
http://www.microchip.com.cn/newc ... 4/642a5df3dae9e.pdf
| 
楼主
标题置顶
标题高亮
