零信任技術自從誕生之日起就備受關注,,被認為是網(wǎng)絡安全技術發(fā)展的顛覆性創(chuàng)新理念,。但是研究人員發(fā)現(xiàn),市場上過度的概念炒作和大量濫竽充數(shù)的偽零信任產(chǎn)品,,正在讓企業(yè)安全團隊對“零信任”的期望值不斷降低,并且感到厭倦,。Forrester高級分析師Heath Mullins表示:零信任已成為當前網(wǎng)絡安全領域濫用和誤解最嚴重的術語,,用戶普遍困惑于哪些安全工具可以真正兌現(xiàn)零信任的安全承諾。
什么不是零信任,?
一直以來,,眾多安全供應商都在向其客戶大力宣傳零信任到底是什么,但最終的結果是,,很多受訪CISO表示,,“零信任就是桌子另一頭的營銷人員極力兜售的技術噱頭!”因此,,現(xiàn)在有一個更加重要的問題是,,讓客戶了解什么不是零信任?
零信任是一種架構,、一種策略和一個持續(xù)的安全防護目標,,而不是可以用一個軟件包就能實現(xiàn)的東西。有很多工具可以幫助組織開啟這個概念,,包括身份安全,、訪問管理和網(wǎng)絡分段,但目前還沒有一個產(chǎn)品可以提供零信任的完整功能,。
研究人員表示,,盡管實現(xiàn)零信任需要端到端的體系化安全能力支撐,但并不是IT環(huán)境中的每一個安全控制措施都可以叫零信任產(chǎn)品,。尤其是,,那些旨在防護企業(yè)邊界安全的傳統(tǒng)安全設備,顯然無法幫助實現(xiàn)零信任,。
同時,,零信任是一種全面的安全防護模式變化,不能將一切已有的安全設備和能力都裝入到新模式中,。從根本上說,,傳統(tǒng)的網(wǎng)絡安全方法大都不是對用戶執(zhí)行的操作進行可信度鑒別和限制,而只是保護相應的網(wǎng)絡空間和應用系統(tǒng),。
因此,,不能聽信那些對零信任的定義夸夸其談的方案供應商,這會對零信任的應用落地產(chǎn)生誤導。誰聲稱可以快速或輕松提供零信任,,就值得可疑,。大多數(shù)組織都處于實現(xiàn)零信任安全架構的早期階段,建設零信任需要時間,,難以快速實現(xiàn),。
零信任到底是什么?
零信任好比是如何阻止現(xiàn)代網(wǎng)絡攻擊方面的一套原則,。今天的攻擊者往往遵循一定的軌跡:在初始進入到訪問環(huán)境之后,,他們會在網(wǎng)絡上橫向移動,控制更多的應用帳戶,,并提升帳戶權限,,以便可以采取另外更具破壞性的行動。
雖然最終的攻擊結果可能是部署勒索軟件或竊取數(shù)據(jù),,但攻擊者必須首先摸清企業(yè)的IT環(huán)境,,才能真正觸及攻擊的目標。在這個過程中,,組織有很多機會可以發(fā)現(xiàn)入侵并關閉系統(tǒng),,減小安全事件的實際損害。真正的零信任方案中,,有很多技術手段可以實現(xiàn)這一點,,比如在訪問敏感資源之前多次核驗用戶權限及其行為,或者將IT環(huán)境分成多個不同的子段,,并賦予不同的安全策略,。
實現(xiàn)零信任安全防護的前提是要消除隱性信任。換句話說,,不應該僅僅根據(jù)用戶能夠通過身份驗證,,就自動信任他們訪問應用程序和數(shù)據(jù)。相反,,為了保障敏感資源的訪問安全,,應明確驗證該請求的各個方面。
經(jīng)過技術的發(fā)展,,已經(jīng)有很多安全產(chǎn)品的設計邏輯與零信任理念高度匹配,,比如零信任網(wǎng)絡訪問,它就是圍繞零信任原則而建的VPN替代技術,。但僅僅部署該技術無法實現(xiàn)完整的零信任架構,。目前,有許多網(wǎng)絡安全廠商圍繞零信任這一術語大做文章,。比如在6月份的RSA安全會議上,,幾乎參展的每家廠商都打出了和零信任相關的市場營銷口號,,這給行業(yè)和用戶都造成了很大的困惑。
有一條經(jīng)驗建議可以幫助用戶判斷某個產(chǎn)品是否符合零信任要求:對照相關的國家標準與第三方研究白皮書進行核驗,。以NIST在2020年頒布的零信任架構文件為例,,其定義了零信任的關鍵目的是防止未經(jīng)授權的人訪問數(shù)據(jù)和服務,另外對訪問控制的實施提出了精細化的參考指標,。如果安全產(chǎn)品與該文件中的指標要求保持一致,,那么可以認為該產(chǎn)品有助于幫助企業(yè)實現(xiàn)零信任安全。
零信任安全的建設挑戰(zhàn)
事實上,,當零信任的用戶教育和市場宣傳告一段落后,,企業(yè)用戶真正關注的是零信任安全如何從概念到落地的問題。對于大多數(shù)企業(yè)來說,,開啟零信任安全建設會面臨諸多挑戰(zhàn):
挑戰(zhàn)1、碎片化的零信任措施
大多數(shù)公司會采用碎片化的方式部署零信任措施,,這可能會降低零信任的安全防護能力,,從而出現(xiàn)防護效果不理想的現(xiàn)象。與此同時,,因實施零信任措施而放棄傳統(tǒng)安全產(chǎn)品,,也可能會引發(fā)意想不到的安全風險。因此,,零信任部署需要復雜的產(chǎn)品體系相互聯(lián)動配合才能成功,。
挑戰(zhàn)2、遺留系統(tǒng)無法適應零信任
在部署零信任措施對遺留系統(tǒng)與應用程序進行改造時,,大多數(shù)情況下會難以兼顧它們的邊界屬性,,如果這些系統(tǒng)需要保留在原位,那么就可能會產(chǎn)生新的安全漏洞或需要部署新的安全措施來保護它們,,這需要耗費大量的資金與時間,。
挑戰(zhàn)3、持續(xù)的管理和維護
零信任網(wǎng)絡安全模式需要持續(xù)的管理與維護,,可能需要額外的員工或使用托管服務,。零信任部署依賴于由一個嚴格定義的權限組成的龐大網(wǎng)絡,但企業(yè)是在不斷發(fā)展的,,員工的具體情況是實時變換的,,這需要每次的訪問控制都必須更新,以確保正確的人員可以訪問特定信息,。保持權限的準確性和最新需要持續(xù)的輸入是非常難以實現(xiàn)的,。
挑戰(zhàn)4、對業(yè)務產(chǎn)生影響
零信任部署可能會影響生產(chǎn)力,。當員工身份發(fā)生變更而未及時更新,,將會導致員工訪問權限被鎖定,,無法訪問所需數(shù)據(jù),這會直接影響工作效率,,甚至產(chǎn)生比網(wǎng)絡安全本身更大的問題,。零信任需要跨各種數(shù)據(jù)、設備,、系統(tǒng)和人員進行通信,,其中任何一環(huán)產(chǎn)生問題都將直接生產(chǎn)力。
挑戰(zhàn)5,、零信任并非沒有風險
雖然零信任的目標是提高安全性,,但它也不能免受風險的影響。Gartner認為零信任存在如下潛在安全風險:
信任代理是潛在的故障點,,可能成為攻擊的目標,;
本地計算機設備和應用系統(tǒng)也會受到攻擊;
用戶賬戶仍然可能被泄露,;
零信任管理員帳戶及權限或成為重點攻擊目標,。
如何應對零信任挑戰(zhàn)?
構建零信任安全并不容易,,但它已成為安全技術未來發(fā)展的主流方向之一,。對于許多企業(yè)來說,零信任的建設需要全面改變架構,、流程和安全意識,,這不是一蹴而就的改變,而是一個循序漸進的過程,。企業(yè)在建立高效,、安全的零信任體系時,需要做好以下準備,。
1,、充分進行零信任測試
在將零信任方案投入生產(chǎn)環(huán)境之前,需要對其進行充分的測試和安全評估,。這不僅可以為用戶使用這些類型的系統(tǒng)提供經(jīng)驗,,還可以幫助管理員以及安全團隊掌握響應事件和處理安全問題的經(jīng)驗,以改進未來的實施,。
2,、提前考慮業(yè)務需求和用戶體驗
有效實施零信任模式需從業(yè)務需求入手。詢問要保護什么資產(chǎn),、為何保護,,來確定哪些方面采用零信任技術能更有效提高安全能力,這最終將支持企業(yè)的零信任戰(zhàn)略,。
安全和用戶體驗常常相沖突,,但是不一定非得這樣,。在敲定零信任安全流程、制定策略和明確需求之前,,考慮用戶活動范圍變化和體驗,。推出零信任新模式后,要考慮如何傳達體驗方面的優(yōu)勢(比如無密碼單點登錄),,而不是一味關注安全方面的優(yōu)勢,。
3、合理規(guī)劃建設預期
大多數(shù)供應商都聲稱可提供完整的零信任安全解決方案,,但事實上沒有哪款產(chǎn)品能做到,。零信任是一種理念,企業(yè)需要明確驗證身份,、位置,、設備運行狀況、服務及/或工作負載,,旨在出現(xiàn)違規(guī)行為時盡量減小影響,、劃分訪問范圍。成功的零信任安全項目大都從身份管理,、多因子身份驗證和最低權限訪問等角度入手,逐步建設完善,。
4,、建立零信任文化
如果使用零信任安全以后,企業(yè)員工的安全意識卻沒有同步提升,,這項技術的應用效果將難以充分發(fā)揮,。將企業(yè)的安全防護與員工安全意識實現(xiàn)掛鉤,對于提高零信任應用效率至關重要,。公司必須注重培養(yǎng)一種倡導透明,、信任和開放溝通的企業(yè)文化,輔以持續(xù)培訓和相應技術手段,,才可以有效提升員工的安全意識,,全面防御所有攻擊面。
5,、持續(xù)關注零信任技術的發(fā)展
遷移到零信任需要慎重規(guī)劃,,盡早定義需要保護的關鍵資產(chǎn)和基礎設施很重要。現(xiàn)有系統(tǒng)和零信任環(huán)境需要時間磨合才能共存,,且對于大多數(shù)企業(yè)來說,,不會是一次性升級。目前零信任技術仍在快速成長,,持續(xù)了解零信任技術和解決方案的發(fā)展對于長期保護投資很重要,。
更多信息可以來這里獲取==>>電子技術應用-AET<<
