零信任技術自從誕生之日起就備受關注,被認為是網絡安全技術發展的顛覆性創新理念。但是研究人員發現,市場上過度的概念炒作和大量濫竽充數的偽零信任產品,正在讓企業安全團隊對“零信任”的期望值不斷降低,并且感到厭倦。Forrester高級分析師Heath Mullins表示:零信任已成為當前網絡安全領域濫用和誤解最嚴重的術語,用戶普遍困惑于哪些安全工具可以真正兌現零信任的安全承諾。
什么不是零信任?
一直以來,眾多安全供應商都在向其客戶大力宣傳零信任到底是什么,但最終的結果是,很多受訪CISO表示,“零信任就是桌子另一頭的營銷人員極力兜售的技術噱頭!”因此,現在有一個更加重要的問題是,讓客戶了解什么不是零信任?
零信任是一種架構、一種策略和一個持續的安全防護目標,而不是可以用一個軟件包就能實現的東西。有很多工具可以幫助組織開啟這個概念,包括身份安全、訪問管理和網絡分段,但目前還沒有一個產品可以提供零信任的完整功能。
研究人員表示,盡管實現零信任需要端到端的體系化安全能力支撐,但并不是IT環境中的每一個安全控制措施都可以叫零信任產品。尤其是,那些旨在防護企業邊界安全的傳統安全設備,顯然無法幫助實現零信任。
同時,零信任是一種全面的安全防護模式變化,不能將一切已有的安全設備和能力都裝入到新模式中。從根本上說,傳統的網絡安全方法大都不是對用戶執行的操作進行可信度鑒別和限制,而只是保護相應的網絡空間和應用系統。
因此,不能聽信那些對零信任的定義夸夸其談的方案供應商,這會對零信任的應用落地產生誤導。誰聲稱可以快速或輕松提供零信任,就值得可疑。大多數組織都處于實現零信任安全架構的早期階段,建設零信任需要時間,難以快速實現。
零信任到底是什么?
零信任好比是如何阻止現代網絡攻擊方面的一套原則。今天的攻擊者往往遵循一定的軌跡:在初始進入到訪問環境之后,他們會在網絡上橫向移動,控制更多的應用帳戶,并提升帳戶權限,以便可以采取另外更具破壞性的行動。
雖然最終的攻擊結果可能是部署勒索軟件或竊取數據,但攻擊者必須首先摸清企業的IT環境,才能真正觸及攻擊的目標。在這個過程中,組織有很多機會可以發現入侵并關閉系統,減小安全事件的實際損害。真正的零信任方案中,有很多技術手段可以實現這一點,比如在訪問敏感資源之前多次核驗用戶權限及其行為,或者將IT環境分成多個不同的子段,并賦予不同的安全策略。
實現零信任安全防護的前提是要消除隱性信任。換句話說,不應該僅僅根據用戶能夠通過身份驗證,就自動信任他們訪問應用程序和數據。相反,為了保障敏感資源的訪問安全,應明確驗證該請求的各個方面。
經過技術的發展,已經有很多安全產品的設計邏輯與零信任理念高度匹配,比如零信任網絡訪問,它就是圍繞零信任原則而建的VPN替代技術。但僅僅部署該技術無法實現完整的零信任架構。目前,有許多網絡安全廠商圍繞零信任這一術語大做文章。比如在6月份的RSA安全會議上,幾乎參展的每家廠商都打出了和零信任相關的市場營銷口號,這給行業和用戶都造成了很大的困惑。
有一條經驗建議可以幫助用戶判斷某個產品是否符合零信任要求:對照相關的國家標準與第三方研究白皮書進行核驗。以NIST在2020年頒布的零信任架構文件為例,其定義了零信任的關鍵目的是防止未經授權的人訪問數據和服務,另外對訪問控制的實施提出了精細化的參考指標。如果安全產品與該文件中的指標要求保持一致,那么可以認為該產品有助于幫助企業實現零信任安全。
零信任安全的建設挑戰
事實上,當零信任的用戶教育和市場宣傳告一段落后,企業用戶真正關注的是零信任安全如何從概念到落地的問題。對于大多數企業來說,開啟零信任安全建設會面臨諸多挑戰:
挑戰1、碎片化的零信任措施
大多數公司會采用碎片化的方式部署零信任措施,這可能會降低零信任的安全防護能力,從而出現防護效果不理想的現象。與此同時,因實施零信任措施而放棄傳統安全產品,也可能會引發意想不到的安全風險。因此,零信任部署需要復雜的產品體系相互聯動配合才能成功。
挑戰2、遺留系統無法適應零信任
在部署零信任措施對遺留系統與應用程序進行改造時,大多數情況下會難以兼顧它們的邊界屬性,如果這些系統需要保留在原位,那么就可能會產生新的安全漏洞或需要部署新的安全措施來保護它們,這需要耗費大量的資金與時間。
挑戰3、持續的管理和維護
零信任網絡安全模式需要持續的管理與維護,可能需要額外的員工或使用托管服務。零信任部署依賴于由一個嚴格定義的權限組成的龐大網絡,但企業是在不斷發展的,員工的具體情況是實時變換的,這需要每次的訪問控制都必須更新,以確保正確的人員可以訪問特定信息。保持權限的準確性和最新需要持續的輸入是非常難以實現的。
挑戰4、對業務產生影響
零信任部署可能會影響生產力。當員工身份發生變更而未及時更新,將會導致員工訪問權限被鎖定,無法訪問所需數據,這會直接影響工作效率,甚至產生比網絡安全本身更大的問題。零信任需要跨各種數據、設備、系統和人員進行通信,其中任何一環產生問題都將直接生產力。
挑戰5、零信任并非沒有風險
雖然零信任的目標是提高安全性,但它也不能免受風險的影響。Gartner認為零信任存在如下潛在安全風險:
信任代理是潛在的故障點,可能成為攻擊的目標;
本地計算機設備和應用系統也會受到攻擊;
用戶賬戶仍然可能被泄露;
零信任管理員帳戶及權限或成為重點攻擊目標。
如何應對零信任挑戰?
構建零信任安全并不容易,但它已成為安全技術未來發展的主流方向之一。對于許多企業來說,零信任的建設需要全面改變架構、流程和安全意識,這不是一蹴而就的改變,而是一個循序漸進的過程。企業在建立高效、安全的零信任體系時,需要做好以下準備。
1、充分進行零信任測試
在將零信任方案投入生產環境之前,需要對其進行充分的測試和安全評估。這不僅可以為用戶使用這些類型的系統提供經驗,還可以幫助管理員以及安全團隊掌握響應事件和處理安全問題的經驗,以改進未來的實施。
2、提前考慮業務需求和用戶體驗
有效實施零信任模式需從業務需求入手。詢問要保護什么資產、為何保護,來確定哪些方面采用零信任技術能更有效提高安全能力,這最終將支持企業的零信任戰略。
安全和用戶體驗常常相沖突,但是不一定非得這樣。在敲定零信任安全流程、制定策略和明確需求之前,考慮用戶活動范圍變化和體驗。推出零信任新模式后,要考慮如何傳達體驗方面的優勢(比如無密碼單點登錄),而不是一味關注安全方面的優勢。
3、合理規劃建設預期
大多數供應商都聲稱可提供完整的零信任安全解決方案,但事實上沒有哪款產品能做到。零信任是一種理念,企業需要明確驗證身份、位置、設備運行狀況、服務及/或工作負載,旨在出現違規行為時盡量減小影響、劃分訪問范圍。成功的零信任安全項目大都從身份管理、多因子身份驗證和最低權限訪問等角度入手,逐步建設完善。
4、建立零信任文化
如果使用零信任安全以后,企業員工的安全意識卻沒有同步提升,這項技術的應用效果將難以充分發揮。將企業的安全防護與員工安全意識實現掛鉤,對于提高零信任應用效率至關重要。公司必須注重培養一種倡導透明、信任和開放溝通的企業文化,輔以持續培訓和相應技術手段,才可以有效提升員工的安全意識,全面防御所有攻擊面。
5、持續關注零信任技術的發展
遷移到零信任需要慎重規劃,盡早定義需要保護的關鍵資產和基礎設施很重要。現有系統和零信任環境需要時間磨合才能共存,且對于大多數企業來說,不會是一次性升級。目前零信任技術仍在快速成長,持續了解零信任技術和解決方案的發展對于長期保護投資很重要。
更多信息可以來這里獲取==>>電子技術應用-AET<<