Security Operations

将零信任扩展到端点

网络零信任--熟悉的旋律
端点零信任--一个全面的 "零信任 "故事

网络零信任--熟悉的旋律

零信任是一种日益被接受和推崇的网络架构安全模式。对于那些专注于网络安全的人来说，"永远不要相信，永远要验证 "这句话耳熟能详。零信任 "强调的原则是，组织不应该信任内部或外部的任何东西，所有试图连接到网络的东西都应该先经过验证，然后才允许访问。

要实现零信任架构，需要根据用户、数据和位置进行网络分段和细化执行。所有流量都必须记录在案，并在各个检查点进行检查，这些检查点根据既定规则识别和允许流量。这样就能保持最低权限访问

和严格的访问控制，为您提供必要的网络可见性和上下文，以限制横向移动并识别来自网络内部的攻击。

随着安全技术的不断进步，需要保护的数据量也大大增加。在当今高度移动的世界里，数据随着端点移动，这使得端点成为 cy- berack 攻击的目标。因此，安全政策必须随着用户和数据的移动而移动，不应与特定位置绑定。随着世界各地的设备都在访问数据和应用程序，"零信任 "及其 "预防为主 "的方法应该从网络扩展到端点。

端点零信任--一个全面的 "零信任 "故事

端点安全产品负责保护端点安全并收集端点活动数据，而网络安全产品则负责网络安全。要有效打击先进的威胁，两者必须通力合作。结合端点和网络安全的集成平台方法是实现整体保护并在整个安全架构中实施零信任模式的唯一途径。这种方法必须成为我们所做的一切工作的一部分，以便在流量发生的任何地方，在数据存在的任何地方，都能进行预防。

要将 "零信任 "扩展到端点，必须满足四个标准：

1.利用多层安全保护端点

如果攻击者找到了绕过最薄弱环节的方法，例如通过发送恶意软件或利用应用程序漏洞，传统的安全措施就会失效。更有效的做法是将网络和端点保护分层，这样，如果攻击者成功绕过一种措施，他们就会面临另一种措施，从而逐渐增加成功的难度。

网络安全的作用是阻止尽可能多的攻击（无论是恶意软件、网络钓鱼攻击还是漏洞利用）通过网络到达端点。如果攻击通过 U 盘或其他非网络手段到达端点，流量被加密，或者用户在 oThine 或网络外，端点安全的作用就是解除攻击者的破坏能力。

将这些学科结合起来构建零信任架构，使端点和网络安全之间的整合更加有效。

2.与网络安全整合

将 "零信任 "扩展到端点，将端点安全与网络安全结合起来，形成一个单一的整体安全架构。从端点获得的情报应反馈到防火墙，反之亦然。应在防火墙上设置策略，这样，如果端点遭遇事件，就可以隔离该端点，直到可以对其进行全面扫描和清理。

此外，将防火墙中的用户和流量数据输入网络安全管理工具，可提供整个网络中发生的情况。这样，您就可以编写安全策略来适当反映此类活动，并在端点上强制执行。

零信任网络安全模式还包括将端点安全与虚拟专用网络（或 VPN）安全结成合作伙伴，从而使全局策略与用户和端点一起移动。为确保端点始终受到保护，VPN 功能应该对用户透明，无需人工干预即可登录或连接。当端点安全和 VPN 相互配合时，无论端点位于何处，都会受到保护，防止不良流量进入 VPN 和防火墙。为了进一步加强这种集成，放置在新一代防火墙上的 VPN 将策略执行扩展到隧道中。如果流量经过加密并通过被入侵的端点进入网络， Policy 仍会执行。

端点和网络安全集成所提供的细粒度可视性必须辅以自动化功能，以实现快速、明智和准确的多变量决策。这种集成还必须是无缝的、轻量级的，这样才不会对用户产生负面影响。

3.管理多种端点

所有组织都有多种必须管理的端点，如服务器、工作站、台式机、笔记本电脑、平板电脑和移动设备。要强化安全态势并实施零信任，端点保护需要与防火墙集成，这样，无论端点在哪里，安全策略都会跟随着端点。多因素身份验证（MFA）应在新一代防火墙上执行，以实现可扩展性，并将暴露线远离关键应用程序。这种整合不得对系统性能产生负面影响，，这样用户就不会注意到后台运行的安全工具，并有可能尝试删除或关闭安全工具。

4.第 2-7 层访问控制

在整个安全架构中实施零信任架构时，要确保流量在进入和离开端点时都受到恶意行为检查。端点通常会在流量进入网络时对其潜在威胁进行评估。在假设用户和用户活动有效的情况下，在流量离开网络时对其进行评估则不太常见。但是，如果用户被入侵，攻击者可能会从端点渗出数据或知识产权，或利用被入侵的设备进行其他邪恶活动。

为防止数据或知识产权离开网络，您需要通过与新一代防火墙的集成，了解端点上的活动。根据防火墙上设置的策略，如果用户或应用程序流量超出了定义的安全策略范围，防火墙就会进行干预并阻止可疑活动。该策略必须在加密 VPN 通道内部执行威胁预防规则、URL 过滤和恶意软件沙箱功能。

新一代防火墙还应具备 SSL 解密功能，以解密加密的流量，并获得必要的可见性，以确定流量是否是恶意的。如果发现恶意流量，防火墙和端点之间的集成应允许防火墙阻止任何命令和控制流量，并将端点与网络隔离。

Palo Alto Networks 方法

Palo Alto Networks 产品组合提供您所需的工具、技术和产品，以便将零信任策略转化为实际部署。

Palo Alto Networks 产品组合的一个重要组成部分是 Cortex XDR，这是业界首个扩展检测和响应(XDR) 平台。Cortex XDR 代理在攻击生命周期的关键阶段使用多种保护方法，预防已知和未知的恶意软件、漏洞利用和勒索软件以及零日威胁。Cortex XDR 可执行本地分析，根据文件属性分类和先前已知的判决来识别恶意和良性文件。

除本地分析外，Cortex XDR 还与 WildFire^® 云威胁分析服务集成。WildFire 可自行执行动态和静态分析、机器学习和裸机分析，甚至能识别最难以规避的威胁。作为平台的一部分，WildFire 使 Cortex XDR 和新一代防火墙成为网络和端点的传感器和执行点。

Palo Alto Networks 的新一代防火墙可检查所有流量，包括应用程序、威胁和内容（即使是加密内容），并将这些流量与用户绑定。由此产生的可见性和数据有助于安全政策与组织的独特需求和举措保持一致。与 Cortex XDR 一样，新一代防火墙与 WildFire 配合使用，可防范已知和未知威胁。当 WildFire 在任何地方发现新的威胁时，它会自动创建并向整个平台和 WildFire 社区的其他成员发布更新的保护措施，以支持协调的安全基础设施。这些更新包括 Cortex XDR 新识别的威胁，可为整个架构提供更全面、更有效的保护。

GlobalProtect^™ 端点网络安全将您的网络策略与端点联系起来，将您的安全策略扩展到远程网络和移动用户。GlobalProtect 使用新一代防火墙检查流量，全面了解所有网络流量、应用程序、端口和协议。这种可视性允许在端点上无缝执行安全策略，无论用户位于何处。GlobalProtect 提供用户信息以支持 User-ID™ 技术，并与防火墙中的 MFA 保护功能集成，防止攻击者利用窃取的凭证横向移动。