采用零信任對于企業(yè)來說似乎是一項艱巨的任務(wù)��,但其付出將獲得更多的回報���。
公共會計、咨詢和技術(shù)商Crowe公司的網(wǎng)絡(luò)安全管理顧問Michael Salihoglu指出�����,原有的安全模式就像是一座堡壘����,有圍墻、護(hù)城河和吊橋��。
他說�����,“人們在堡壘中就可以做任何想做的事情����,有著堅硬的外殼和軟肋���,一旦被網(wǎng)絡(luò)攻擊者攻破將難以抵擋��。”
他指出,零信任是實現(xiàn)安全性的一個重大轉(zhuǎn)變����。
他說�����,“企業(yè)的安全性并不都是這樣的堡壘��,但每個應(yīng)用程序和數(shù)據(jù)存儲設(shè)施都是一種堡壘���。每個人和一切都應(yīng)該盡可能地經(jīng)過身份驗證�����,我們需要消除內(nèi)部網(wǎng)絡(luò)的固有信任��。”
事實上����,美國總統(tǒng)拜登在去年春天將零信任描述為改善美國網(wǎng)絡(luò)安全的行政命令的基石��。
新的優(yōu)先事項
毫不奇怪����,在iSMG公司對150位網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者進(jìn)行的調(diào)查中�,很多受訪者都表示,零信任對降低他們的網(wǎng)絡(luò)安全風(fēng)險都至關(guān)重要����,46%的受訪者表示����,這是他們在2022年最重要的安全實踐——領(lǐng)先于任何其他網(wǎng)絡(luò)安全項目或戰(zhàn)略���。
根據(jù)調(diào)研機(jī)構(gòu)Forrester公司在本月早些時候發(fā)布的對300多家大型企業(yè)的調(diào)查報告,78%的安全戰(zhàn)略高管計劃在今年增加對零信任的投入����。
在過去幾個月發(fā)布的有關(guān)該主題的調(diào)查都表明,零信任是企業(yè)的首要任務(wù)���。然而,在實施方面��,很多企業(yè)才剛剛開始朝這個方向發(fā)展�����。
根據(jù)普華永道公司在去年12月對全球3600多名高管進(jìn)行的調(diào)查��,52%的受訪者表示他們已經(jīng)開始或計劃實施零信任���,但只有11%的受訪者表示開始獲得采用零信任的好處�,只有28%的受訪者表示已經(jīng)大規(guī)模實施了零信任���。
Forrester公司的調(diào)查表明,表示完全部署零信任的受訪者只有6%����,另有30%的受訪者表示將部分部署零信任����。此外,63%的受訪者表示他們的零信任項目目前處于評估���、戰(zhàn)略或試點階段����。
如何實施零信任
美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的國家網(wǎng)絡(luò)安全卓越中心目前正在制定一套操作指南和示例方法�����,以便在最常見的業(yè)務(wù)案例中更輕松地實施零信任�,基本的NIST零信任架構(gòu)參考指南已于2020年夏季發(fā)布���。
去年秋天�,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了其零信任成熟度模型�,這是企業(yè)和機(jī)構(gòu)用來過渡到零信任架構(gòu)的路線圖。
與此同時�,就在上個月,美國公共與預(yù)算管理辦公室(OMB)發(fā)布了一個聯(lián)邦戰(zhàn)略�,以推進(jìn)零信任架構(gòu)�����,其中包括一個詳細(xì)的路線圖��,任何組織(而不僅僅是政府機(jī)構(gòu)和承包商)都可以將其用作模型�。
美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國公共與預(yù)算管理辦公室(OMB)都專注于零信任戰(zhàn)略的五個主要支柱——保護(hù)身份、設(shè)備��、網(wǎng)絡(luò)�����、應(yīng)用程序����、數(shù)據(jù)。
以下是企業(yè)正確執(zhí)行此這一操作的一些最佳實踐��。
(1)從明確的業(yè)務(wù)目標(biāo)開始
從零信任開始似乎是一項艱巨的任務(wù)。
Banyan Security公司的首席安全官Den Jones說:“你不能購買零信任產(chǎn)品�,并期望奇跡會在一夜之間發(fā)生。”Jones是Adobe公司和Cisco公司的前高管�����,也是零信任運動的先驅(qū)之一���。
他指出��,這種方法可以幫助關(guān)注有形的業(yè)務(wù)成果。
Jones說���,“首席信息安全官應(yīng)該專注于改善員工體驗或與違規(guī)行為相關(guān)的投資�����。”
另一個建議是逐步部署應(yīng)用程序或用戶的零信任架構(gòu)����。這樣做可以逐步簡化整個過程����,因為不必中止和替換現(xiàn)有的工作?���?梢詫W⒂谄髽I(yè)內(nèi)的特定部門或團(tuán)隊,而不是一次性完成整個業(yè)務(wù)�����。
(2)通過了解保護(hù)面來優(yōu)先考慮業(yè)務(wù)風(fēng)險
如今�,許多安全從業(yè)者從潛在的攻擊面開始���。企業(yè)的邊界在哪里?網(wǎng)絡(luò)攻擊者如何嘗試突破?零信任扭轉(zhuǎn)了這一局面��。
Appgate Federal集團(tuán)首席產(chǎn)品官Jason Garbis說���,“首先要評估最高價值和最高風(fēng)險的用戶和資產(chǎn)——應(yīng)用程序和數(shù)據(jù)��。”
他表示�,這些是開始應(yīng)用零信任原則的最佳場所�。他說�����,“即使是很小的變化也會產(chǎn)生影響�。”
(3)當(dāng)心分析癱瘓
轉(zhuǎn)向零信任是一項艱巨的任務(wù)�,數(shù)據(jù)中心管理不應(yīng)該試圖弄清楚如何一次完成所有事情�����。
Optiv Security公司工程研究員Jerry Chapman說��,“零信任包括許多不同的安全控制和許多不同的技術(shù)�。企業(yè)經(jīng)常陷入分析癱瘓��。”
(4)圍繞身份重新調(diào)整
Chapman表示��,一個可能的起點是身份���。
他說�,“身份是零信任安全的基礎(chǔ)����,但它不一定是完美的。但它確實必須具有某些關(guān)鍵元素�,例如身份來源和基于角色的訪問控制。身份起源意味著知道所有身份的來源��。不僅是用戶身份��,還包括在構(gòu)建零信任架構(gòu)時在云中生成的服務(wù)帳戶和臨時身份�����。”
(5)使用微分段構(gòu)建網(wǎng)絡(luò)
Chapman表示�����,數(shù)據(jù)中心傳統(tǒng)上非常擅長管理網(wǎng)絡(luò)和周邊環(huán)境����。在構(gòu)建零信任架構(gòu)的情況下�����,其原理是相同的����,只是網(wǎng)絡(luò)和邊界會小得多。
他說�����,“微分段就是如何在數(shù)據(jù)中心創(chuàng)建一個微邊界�,只有預(yù)先批準(zhǔn)的流量才能進(jìn)入�����。”
這與舊系統(tǒng)的白名單類似�,除了批準(zhǔn)的名單是基于策略而不是IP地址�。維護(hù)一個網(wǎng)絡(luò)、防火墻和一組規(guī)則對于嘗試跨微段進(jìn)行維護(hù)已經(jīng)足夠繁重了����。采用人工工作不再能解決這個問題�。
Chapman表示,這就是現(xiàn)代零信任網(wǎng)絡(luò)訪問解決方案使用機(jī)器學(xué)習(xí)或人工智能來了解良好流量的原因�,并幫助企業(yè)以自動化方式創(chuàng)建訪問策略。
他補(bǔ)充說����,“一旦在學(xué)習(xí)模式下找到了解決方案,就可以開始采取措施并禁用通用流量����。”
(6)實施政策、有條件的安全訪問控制和最小權(quán)限原則
在零信任的世界中���,數(shù)據(jù)中心的安全性基于身份而不是基于特定的個人身份��。
Chapman說,“企業(yè)必須開始考慮基于身份的安全策略���。必須將范式從‘你從會計需要訪問某一個應(yīng)用程序’更改為‘具有這些角色的用戶可以從會計服務(wù)器訪問這些數(shù)據(jù)��。’這是一種高級別的模式����,它消除了管理所有身份和訪問請求的細(xì)節(jié)��。”
在這里�����,人工智能再次可以幫助企業(yè)自動生成角色和訪問策略�����。但人工智能尚未理解不斷變化的業(yè)務(wù)需求�。僵化的角色和策略可能會阻止用戶和流程完成他們的工作。
(7)允許合理范圍內(nèi)的例外情況以及政策限制范圍內(nèi)的例外情況
與任何技術(shù)一樣�����,實現(xiàn)零信任有良好的一方面�,也有糟糕的一方面��。
Chapman說����,“如今����,我看到了Active Directory環(huán)境非常糟糕���,Active Directory已經(jīng)有20年的應(yīng)用歷史�����,擁有5000個用戶和50000個群組���。”
當(dāng)企業(yè)添加策略��、訪問權(quán)限和角色以滿足業(yè)務(wù)需求,然后累計到無法管理的混亂時���,也會發(fā)生同樣的情況�����。
他說��,其解決方案是建立一個治理流程。
他說��,“零信任的前提是提供及時和足夠的訪問權(quán)限����,有時,為了服務(wù)于某家企業(yè)的業(yè)務(wù)用例,可能面臨一個混亂的過程���。我對這個企業(yè)提出的問題是�,這種混亂的環(huán)境會持續(xù)多長時間?如果正在管理這個解決方案�����,當(dāng)不再需要時�����,它就會被刪除�����。”
而且這種臨時訪問也可以依賴于策略。例如��,如果某人需要訪問生產(chǎn)服務(wù)器以解決問題�����,則策略可能要求提供服務(wù)票證���,說明服務(wù)器已經(jīng)關(guān)閉�����,并且只有在票證打開時才允許訪問。
(8)可見性是關(guān)鍵
在企業(yè)可以圍繞身份��、設(shè)備��、網(wǎng)絡(luò)�����、應(yīng)用程序和數(shù)據(jù)實施零信任之前�����,他們需要全面了解其環(huán)境����,以及所有事物如何與其他事物連接��。
Forescout Technologies公司全球醫(yī)療保健副總裁Tamer Baker說�,“用戶���、設(shè)備和服務(wù)都連接到數(shù)據(jù)中心,這是一個復(fù)雜的環(huán)境����,只會由于采用云計算服務(wù)而變得更加復(fù)雜�����。如果企業(yè)試圖在不了解該環(huán)境的行為方式的情況下強(qiáng)制執(zhí)行����,他們可能會對安全漏洞視而不見,或者破壞工作流���。”
他表示,一旦獲得了全面的可見性���,他們就可以開始了解需要哪些信任技術(shù)和執(zhí)行策略��。
事實上��,許多必要的技術(shù)可能已經(jīng)到位��,只需要使用編排和策略引擎進(jìn)行更新。
Baker補(bǔ)充說�,“這就是為什么從了解所有連接的業(yè)務(wù)邏輯及其通信方式開始如此重要的原因,”
(9)消除攻擊面
在傳統(tǒng)方法中�����,應(yīng)用程序被發(fā)布到全球互聯(lián)網(wǎng)上���。
Zscaler ThreatLabZ公司研究團(tuán)隊負(fù)責(zé)人Desai說,“這意味著他們可以很容易地被對手發(fā)現(xiàn)��。”
然后����,網(wǎng)絡(luò)攻擊者將采用一切手段和措施以破壞企業(yè)防御機(jī)制,例如使用暴力破解�、竊取的憑據(jù)或漏洞攻擊�����。
他說���,“零信任方法通過隱藏源身份和混淆IP地址來避免將企業(yè)資產(chǎn)暴露在互聯(lián)網(wǎng)上��。”
Desai表示��,當(dāng)應(yīng)用程序?qū)κ植豢梢姴⑶抑荒苡墒跈?quán)用戶訪問時����,網(wǎng)絡(luò)攻擊面就會減少���。他說��,“它確保對應(yīng)用程序的訪問——在互聯(lián)網(wǎng)�、SaaS��、公有或私有云中是安全的��。”
關(guān)鍵詞:
首要任務(wù)
網(wǎng)絡(luò)攻擊者
大型企業(yè)
營業(yè)執(zhí)照公示信息