1、 借助零信任和自动化奠定安全防护基础如何驾驭零信任世界 目录 简介 .3 零信任是出路？.5 逐一事务验证身份 .5 实施零信任所面临的挑战.6 如何利用零信任架构奠定牢固的安全防护基础 .7 零信任是主干，而非枝叶 .7 零信任从何着手 .7 利用自动化扩展零信任 .8 自动化的优势 .8 零信任自动化不止于安全防护 .9 一致的合规性和安全性 .9 全面的软件安全防护.9 合规自动化 .9 红帽 Ansible 自动化平台助力零信任自动化 .10 准备好开启零信任自动化之旅？.11电子书 借助零信任和自动化奠定安全防护基础红帽官方微博红帽官方微信 电子书 借助零信任和自动化奠定安全防护基础

2、3企业不会在下班时间后就停工歇业。网络罪犯和其他不法分子也一样，他们会一直伺机窃取数据或造成其他破坏，损害您的公司、合作伙伴和客户。如今，企业面临各种网络安全威胁，使 IT、安全和运维团队处于高度戒备状态。这些威胁影响着各种规模的企业，可能会造成数十亿美元的损失。根据 IBM 的一份报告，网络攻击导致的数据泄露平均成本在 2021 年达到了 424 万美元，高于 2020 年的 386 万美元。1这些威胁也不仅限于源自外部攻击者。Verizon 的“2021 年数据泄露调查报告”指出，30%的数据泄露与员工在超出自身的角色和权限范围访问系统有关。2攻击数量增多和严重程度加剧是由诸多因素造成的，

3、包括网络基础架构迅速变化、从本地迁移到云端解决方案，以及远程办公和居家办公模式自 2020 年起开始盛行等。员工远程办公会扩大公司系统的受攻击面，因为不论设备是公司所有还是员工自有，它们都通过个人和公共互联网连接访问公司的敏感系统。另外，随着远程员工与素未谋面的同事一同共事的情况增多，网络钓鱼和鱼叉式网络钓鱼攻击的数量和复杂程度也在增长。转向云端解决方案为企业带来了诸多好处，例如节省成本和大幅减少纸质文档存储等。但这些好处也伴随着方方面面的成本增加，因为企业需要管理用户、应用和基础架构的安全，而且有成千上万的用户使用传统的本地系统和基于云端的系统。远程办公和向云迁移两者结合，使传统的 VPN

4、围墙式安全方法变得过时。除了员工从更多设备连接到更多系统之外，物联网和边缘计算的引入也使新的潜在攻击途径暴露给网络攻击者。不仅员工访问系统的方式有所增多，企业也通过扩增团队来管理不同的网络和安全系统。InfoSec、SysOps、NetOps 和其他团队通常同时工作以执行安全策略并应对威胁，但这些团队往往是彼此独立的。另外，这些团队通常分散于不同的位置，使用不同的系统，并且没有共用相同的流程，从而影响了他们的协调响应能力。一旦涉及安全威胁，每一秒的反应时间都很重要。1 “2021 年数据泄露成本报告”，IBM，数据获取于 2022 年 6 月 16 日。2 “2022 年数据泄露调查报告”，V

5、erizon，数据获取于 2022 年 6 月 16 日。简介 电子书 借助零信任和自动化奠定安全防护基础4另外一个难题也加剧了网络攻击风险：为企业基础架构提供支持和保护的诸多解决方案之间缺乏集成。如果管理这些解决方案的团队无法有效沟通，会给有效应对安全事件造成额外的障碍。网络攻击风险已经引起安全领域主管以外人士的关注。企业和供应商已通过适应调整来支持包括加利福尼亚消费者隐私法案（CCPA）和欧盟通用数据保护条例（GDPR）在内的法规。2021 年，美国政府意识到网络威胁有所增多，因此颁布了改善国家网络安全行政令。要想应对这些威胁，企业需要在自身的策略、网络和应用中贯彻安全第一的理念。许多企业

6、或机构正在将零信任架构视为未来的可行方法，包括美国联邦政府在内，都在推动在自己的网络中实施零信任架构。不过，实施零信任只是一个开端，特别是在拥有多个站点以及混合使用本地、云和边缘系统的大型企业内。扩展零信任架构需要企业层面的自动化予以支持。在本电子书中，您将了解红帽 Ansible 自动化平台如何为企业提供合适的解决方案。想要进一步了解零信任？请继续阅读。已经知道零信任，但想了解更多关于如何实现自动化的信息？请跳转到利用自动化扩展零信任。 电子书 借助零信任和自动化奠定安全防护基础5传统的安全防护模型是围绕员工从办公室访问系统而构建的。当远程访问方式从拨号网络演变为始终在线的宽带后，企业使用虚

7、拟专用网络（VPN）来调控外部访问。虽然 VPN 为企业网络提供了安全身份验证，但也向用户开放了超过其所需的资源和系统，从而造成了潜在的安全风险。但如今，VPN 以及基于用户的标准授权模式已无法为企业提供所需的安全级别，难以满足业务所依赖的本地、混合和云端解决方案架构的复杂需求。因此，需要一种新的模式从根本上改变企业对待安全防护的方式。实现这种安全防护方式转变的正是零信任架构。零信任于 2010 年被公认为一种安全模式，它假定网络内外都存在攻击者。根据这一假定，零信任默认为在不信任状态下启动每个交互。零信任框架不仅依赖位置和角色或基于用户的权限，还要求对用户、设备和应用进行验证，以便为交互创建

8、一个可信状态。实施零信任将倡导一种全新的安全防护理念，即指示系统架构师对每一事务验证用户或设备的身份，并且仅基于最低特权概念来授权对数据和系统的访问。逐一事务验证身份零信任架构的基础是将每一次交互都视为来自网络内外的潜在威胁。在进行交互之前，需要对其中的组成要素进行身份验证。每一种零信任架构都有一套独特的必备要素，其中核心要素包括：用户：验证试图访问网络、应用或云端系统的用户是否具有正确的权限。应用：验证用户对其试图访问的数据或应用是否具有正确的权限。设备：确认用户用于连接资源的设备已获得访问网络和应用的相应授权。态势：检查所用的设备，以确认其具有必要的更新、补丁和加密，能够安全地访问网络和应

9、用。零信任是出路？ 电子书 借助零信任和自动化奠定安全防护基础6向零信任迁移也发生于公共部门，尤其体现于美国联邦政府内部。2021 年颁布的改善国家网络安全行政令包括多项授权，包括转向基于云的安全解决方案、推进所有政府基础设施的零信任架构等。向联邦机构销售产品或提供支持的企业必须确保在这些机构升级安全防护和基础设施时遵循零信任标准。实施零信任所面临的挑战随着威胁和攻击途径不断增多，在整个企业内实施零信任势在必行。但是，尽管与传统的安全防护相比有诸多优势，但在现有基础架构中实施零信任也存在挑战。首先，现有基础架构可能由来自不同供应商的多个解决方案构成。虽然大多数供应商已在采用零信任架构原则方面取

10、得了长足进步，但并不是每一个系统都能与其他供应商的系统协同操作。SysOps、NetOps 等内部团队可能会遇到解决方案不能协同配合带来的问题。或者更加糟糕，在发生互操作性问题时，不互通的团队和系统可能会导致威胁检测出现缺口。其次，零信任要求相关主管极大改变他们对安全防护的思考和处理方式。从“城堡加护城河”模式转变为“默认拒绝”理念，意味着主管必须让自己的企业坚持践行零信任原则和实践，即使它们似乎对其他方面构成了阻碍。如果没有这样的决心，团队往往会回到传统的做法，甚至会创造单独的“影子 IT”手段来规避零信任架构、策略和流程。电子书 借助零信任和自动化奠定安全防护基础 传统的安全防护方法，例如

11、使用物理或数字令牌的 VPN，是为了提供通向本地网络的安全远程路径而创建的。这通常被称为“城堡加护城河”网络安全模型，其仅侧重于提供一个入口点为另一端的所有资源开启大门。在物理安全防护方面，这就像是使用门禁卡出入大楼或大楼内的安全区域。企业可能使用基于角色的安全防护机制来允许员工进入大楼或四处走动，并因此认为自己已设有物理安全防护。但是，如果有不法分子采用社交工程攻击手段，比如假装快递员并被大楼保安允许通过，这样的物理安全防护可能就会失效。零信任是主干，而非枝叶零信任原则将安全防护作为所有项目的基础性组成部分，无论是开发新产品还是实施新的基础架构，都是如此。零信任架构不是围绕网络访问来建立安全

12、防护，而是作为整个企业内的一种实践而应用于每一次交互。零信任从何着手在实施零信任时，首先要做的不是选择供应商或迁移安全防护平台。相反，企业需要回答一个对其零信任战略有重大影响的简单问题：我们试图保护的是哪些数据、应用或系统？制作清单。通过了解受保护的内容，企业能够形成一个创建网络、用户、应用和工作负载以及零信任实施规则和策略所需的基线。该基线还为 SysOps、NetOps 和 InfoSec 团队提供分析对象和分析工具，以便发现、识别和应对安全事件。制定流程和策略。企业清楚自己要保护的内容后，内部团队就能协同配合，一同创建零信任流程和策略来保障员工安全地开展工作。测试、改进、部署，纸上谈兵与

13、实际作战往往有不同的结果。实际运用所制定的流程和策略，可为运维、网络和安全团队提供必要反馈，使零信任在整个企业范围内发挥作用。首先了解哪些对象需要受到保护，为利用自动化扩展零信任奠定基础。如何利用零信任架构奠定牢固的安全防护基础电子书 借助零信任和自动化奠定安全防护基础 零信任架构要求包括设备、数据和应用在内的资产在所有位置上都以相同的方式得到保护。例如，如果工作负载从本地数据中心转移到私有云或公共云，零信任架构需要应用同样的安全管理规则。采用零信任架构后，决策是从工作负载本身抽象而来，因此实际的代码不会改变。在大型机构或快速壮大的企业中，引入新的工具或基础架构时，利用自动化有助于扩展策略、规

14、则和流程。在了解红帽 Ansible 自动化平台如何为零信任架构提供自动化之前，我们先看看零信任自动化的五个优势：自动化的优势 清楚要保护的对象。了解需要保护的对象，是在企业的不同设备、网络和应用之间扩展零信任的关键。自动化有助于企业跨多个位置和云跟踪和记录这些资产。始终保持合规。网络犯罪分子使用机器人和其他自动化工具来发动攻击，因此企业需要一个持续防范威胁的安全防护系统。零信任自动化可确保策略全年 24 小时不间断执行。降低风险。InfoSec 团队可以在安全事件发生时采用策略和规则。然后，这些流程可以编写为工作流，并使用自动化来执行，从而降低管理员在实施变更时犯人为错误的风险。加快响应速度

15、。安全风险未得到响应的时间越久，发生数据泄露或网络攻击的概率就越高。借助零信任自动化，企业能够通过创建可按需执行的自动化操作或由事件驱动的自动化操作来快速响应，无论面对的是 1,000 名用户还是 100,000 名用户都能从容应对。快速设计原型。通过自动化，企业可以对安全防护框架进行原型设计、测试和实施变更，不管框架有多么复杂。利用自动化扩展零信任观看网络培训课堂，了解更多关于 Ansible 安全自动化的信息，并揭示您在安全防护自动化之旅上所处的阶段。电子书 借助零信任和自动化奠定安全防护基础 通过将零信任扩展到网络和安全领域之外，企业能够真正将安全性当做每个项目和系统的基础。自动执行这些

16、流程可以确保策略和流程得到应用和检查，降低网络攻击或其他违规行为的风险，从而进一步加大零信任的价值。一致的合规性和安全性自动化可以管理开发过程中的配置、应用部署和合规性检查，从而帮助实施安全性和合规性规则。企业可以对置备、配置、应用部署和其他领域开展自动化。自动化的作用不只是保护应用和组件的安全，也可用于维护这些组件，并提供定期的合规性检查和验证。它可在企业的持续集成和持续开发（CI/CD）生命周期中，端到端连续实施安全态势。全面的软件安全防护零信任原则也可应用于企业内部的软件和系统。团队和部门通常需要不同的应用、硬件和解决方案，而它们之间没有现成的互操作性。自动化可以创建自动化工作流来协调高

17、效、安全的互操作性，从而帮助集成来自不同供应商的多个系统。更为关键的是，在内部和外部开发的解决方案可能包含开源组件，如果不进行漏洞监控，可能会为网络犯罪分子创造新的攻击途径。为管理互操作性而创建的自动化同样可用于让应用保持正确的安全状态。合规性自动化自动化可用于减少合规性相关任务中发生的人为错误。例如，在某个处理信用卡交易的企业中，需要执行多个流程和硬件软件审查，以审核是否符合支付卡行业数据安全标准（PCI DSS）。这些审查还需要从多个系统收集及时且准确的数据。对此，可以采用自动化手段，而不是安排员工或团队手动监控流程，从而减少人为错误，并让员工腾出时间开展其他更具战略价值的项目。零信任自动

18、化不止于安全防护电子书 借助零信任和自动化奠定安全防护基础 红帽 Ansible 自动化平台助力零信任自动化零信任让企业能够清楚洞悉自身网络中发生的每一事务。红帽 Ansible 自动化平台可为企业带来零信任和其他自动化功能。该平台可以降低安全、网络、应用、云和边缘计算等领域的自动化门槛，快速实现投资回报（ROI）。零信任红帽 Ansible 自动化平台助力零信任自动化零信任采用“默认拒绝”方法。红帽 Ansible 自动化平台允许管理员执行访问控制，以便为用户分配权限、特权和角色。它还能实施自动化加密，包括双向传输层安全性（mTLS）、审核跟踪和清单控制等。零信任使用授权策略来限制对应用或资

19、源的访问。用于 Ansible 自动化平台的红帽智能分析可以帮助企业监控和识别可能需要 SysOps 或 NetOps 团队干预的故障或潜在风险。零信任可确保资源在被访问之前得到打上安全补丁。红帽 Ansible 自动化平台确保将安全补丁和更新应用于企业基础架构中的应用资源。红帽 Ansible 自动化平台是一种纽带，将原本无法彼此顺畅协作的不同技术结合在一起。有 100 多种红帽认证内容集（由红帽和合作伙伴提供支持）供您选用，可在混合、云端或本地等所有基础架构组件中提供一致的自动化。要进一步了解自动化如何助您一臂之力，请阅读红帽 Ansible 自动化平台：入门指南 2022 Red Hat

20、,Inc.版权所有。红帽、红帽 logo 和 Ansible 均是 Red Hat,Inc.或其子公司在美国和其他国家/地区的商标或注册商标。关于红帽 红帽是世界领先的企业开源软件解决方案供应商，依托强大的社区支持，为客户提供稳定可靠且高性能的 Linux、混合云、容器和 Kubernetes 技术。红帽致力于帮助客户开发云原生应用，集成现有和新的 IT 应用，并实现复杂环境的自动化和管理。作为深受财富500 强公司信赖的技术顾问，红帽旨在提供一流的支持、培训和咨询服务，努力将开放创新的优势赋能于各行各业。红帽作为全球企业、合作伙伴和社区网络的互连枢纽，致力于帮助企业发展、转型，并拥抱数字化未来。销售及技术支持800 810 2100 400 890 2100红帽北京办公地址北京市朝阳区东大桥路 9 号侨福芳草地大厦 A 座 8 层 邮编:100020 8610 6533 9300红帽官方微博红帽官方微信 F32053电子书 借助零信任和自动化奠定安全防护基础红帽咨询团队可以帮助您在自动化之旅中采用零信任。完成简短的自我评估，或立即与红帽咨询团队联系。进一步了解 IT 自动化，并立即开始试用。准备好开启零信任自动化之旅？