采用零信任对于企业来说似乎是一项艰巨的任务,但其付出将获得更多的回报。
公共会计、咨询和技术商Crowe公司的网络安全管理顾问Michael Salihoglu指出,原有的安全模式就像是一座堡垒,有围墙、护城河和吊桥。
他说,“人们在堡垒中就可以做任何想做的事情,有着坚硬的外壳和软肋,一旦被网络攻击者攻破将难以抵挡。”
他指出,零信任是实现安全性的一个重大转变。
他说,“企业的安全性并不都是这样的堡垒,但每个应用程序和数据存储设施都是一种堡垒。每个人和一切都应该尽可能地经过身份验证,我们需要消除内部网络的固有信任。”
事实上,美国总统拜登在去年春天将零信任描述为改善美国网络安全的行政命令的基石。
毫不奇怪,在iSMG公司对150位网络安全领导者进行的调查中,很多受访者都表示,零信任对降低他们的网络安全风险都至关重要,46%的受访者表示,这是他们在2022年最重要的安全实践——领先于任何其他网络安全项目或战略。
根据调研机构Forrester公司在本月早些时候发布的对300多家大型企业的调查报告,78%的安全战略高管计划在今年增加对零信任的投入。
在过去几个月发布的有关该主题的调查都表明,零信任是企业的首要任务。然而,在实施方面,很多企业才刚刚开始朝这个方向发展。
根据普华永道公司在去年12月对全球3600多名高管进行的调查,52%的受访者表示他们已经开始或计划实施零信任,但只有11%的受访者表示开始获得采用零信任的好处,只有28%的受访者表示已经大规模实施了零信任。
Forrester公司的调查表明,表示完全部署零信任的受访者只有6%,另有30%的受访者表示将部分部署零信任。此外,63%的受访者表示他们的零信任项目目前处于评估、战略或试点阶段。
美国国家标准与技术研究所(NIST)的国家网络安全卓越中心目前正在制定一套操作指南和示例方法,以便在最常见的业务案例中更轻松地实施零信任,基本的NIST零信任架构参考指南已于2020年夏季发布。
去年秋天,美国网络安全和基础设施安全局(CISA)发布了其零信任成熟度模型,这是企业和机构用来过渡到零信任架构的路线图。
与此同时,就在上个月,美国公共与预算管理办公室(OMB)发布了一个联邦战略,以推进零信任架构,其中包括一个详细的路线图,任何组织(而不仅仅是政府机构和承包商)都可以将其用作模型。
美国网络安全和基础设施安全局(CISA)和美国公共与预算管理办公室(OMB)都专注于零信任战略的五个主要支柱——保护身份、设备、网络、应用程序、数据。
以下是企业正确执行此这一操作的一些最佳实践。
(1)从明确的业务目标开始
从零信任开始似乎是一项艰巨的任务。
Banyan Security公司的首席安全官Den Jones说:“你不能购买零信任产品,并期望奇迹会在一夜之间发生。”Jones是Adob??e公司和Cisco公司的前高管,也是零信任运动的先驱之一。
他指出,这种方法可以帮助关注有形的业务成果。
Jones说,“首席信息安全官应该专注于改善员工体验或与违规行为相关的投资。”
另一个建议是逐步部署应用程序或用户的零信任架构。这样做可以逐步简化整个过程,因为不必中止和替换现有的工作。可以专注于企业内的特定部门或团队,而不是一次性完成整个业务。
(2)通过了解保护面来优先考虑业务风险
如今,许多安全从业者从潜在的攻击面开始。企业的边界在哪里?网络攻击者如何尝试突破?零信任扭转了这一局面。
Appgate Federal集团首席产品官Jason Garbis说,“首先要评估最高价值和最高风险的用户和资产——应用程序和数据。”
他表示,这些是开始应用零信任原则的最佳场所。他说,“即使是很小的变化也会产生影响。”
(3)当心分析瘫痪
转向零信任是一项艰巨的任务,数据中心管理不应该试图弄清楚如何一次完成所有事情。
Optiv Security公司工程研究员Jerry Chapman说,“零信任包括许多不同的安全控制和许多不同的技术。企业经常陷入分析瘫痪。”
(4)围绕身份重新调整
Chapman表示,一个可能的起点是身份。
他说,“身份是零信任安全的基础,但它不一定是完美的。但它确实必须具有某些关键元素,例如身份来源和基于角色的访问控制。身份起源意味着知道所有身份的来源。不仅是用户身份,还包括在构建零信任架构时在云中生成的服务帐户和临时身份。”
(5)使用微分段构建网络
Chapman表示,数据中心传统上非常擅长管理网络和周边环境。在构建零信任架构的情况下,其原理是相同的,只是网络和边界会小得多。
他说,“微分段就是如何在数据中心创建一个微边界,只有预先批准的流量才能进入。”
这与旧系统的白名单类似,除了批准的名单是基于策略而不是IP地址。维护一个网络、防火墙和一组规则对于尝试跨微段进行维护已经足够繁重了。采用人工工作不再能解决这个问题。
Chapman表示,这就是现代零信任网络访问解决方案使用机器学习或人工智能来了解良好流量的原因,并帮助企业以自动化方式创建访问策略。
他补充说,“一旦在学习模式下找到了解决方案,就可以开始采取措施并禁用通用流量。”
(6)实施政策、有条件的安全访问控制和最小权限原则
在零信任的世界中,数据中心的安全性基于身份而不是基于特定的个人身份。
Chapman说,“企业必须开始考虑基于身份的安全策略。必须将范式从‘你从会计需要访问某一个应用程序’更改为‘具有这些角色的用户可以从会计服务器访问这些数据。’这是一种高级别的模式,它消除了管理所有身份和访问请求的细节。”
在这里,人工智能再次可以帮助企业自动生成角色和访问策略。但人工智能尚未理解不断变化的业务需求。僵化的角色和策略可能会阻止用户和流程完成他们的工作。
(7)允许合理范围内的例外情况以及政策限制范围内的例外情况
与任何技术一样,实现零信任有良好的一方面,也有糟糕的一方面。
Chapman说,“如今,我看到了Active Directory环境非常糟糕,Active Directory已经有20年的应用历史,拥有5000个用户和50000个群组。”
当企业添加策略、访问权限和角色以满足业务需求,然后累计到无法管理的混乱时,也会发生同样的情况。
他说,其解决方案是建立一个治理流程。
他说,“零信任的前提是提供及时和足够的访问权限,有时,为了服务于某家企业的业务用例,可能面临一个混乱的过程。我对这个企业提出的问题是,这种混乱的环境会持续多长时间?如果正在管理这个解决方案,当不再需要时,它就会被删除。”
而且这种临时访问也可以依赖于策略。例如,如果某人需要访问生产服务器以解决问题,则策略可能要求提供服务票证,说明服务器已经关闭,并且只有在票证打开时才允许访问。
(8)可见性是关键
在企业可以围绕身份、设备、网络、应用程序和数据实施零信任之前,他们需要全面了解其环境,以及所有事物如何与其他事物连接。
Forescout Technologies公司全球医疗保健副总裁Tamer Baker说,“用户、设备和服务都连接到数据中心,这是一个复杂的环境,只会由于采用云计算服务而变得更加复杂。如果企业试图在不了解该环境的行为方式的情况下强制执行,他们可能会对安全漏洞视而不见,或者破坏工作流。”
他表示,一旦获得了全面的可见性,他们就可以开始了解需要哪些信任技术和执行策略。
事实上,许多必要的技术可能已经到位,只需要使用编排和策略引擎进行更新。
Baker补充说,“这就是为什么从了解所有连接的业务逻辑及其通信方式开始如此重要的原因,”
(9)消除攻击面
在传统方法中,应用程序被发布到全球互联网上。
Zscaler ThreatLabZ公司研究团队负责人Desai说,“这意味着他们可以很容易地被对手发现。”
然后,网络攻击者将采用一切手段和措施以破坏企业防御机制,例如使用暴力破解、窃取的凭据或漏洞攻击。
他说,“零信任方法通过隐藏源身份和混淆IP地址来避免将企业资产暴露在互联网上。”
Desai表示,当应用程序对对手不可见并且只能由授权用户访问时,网络攻击面就会减少。他说,“它确保对应用程序的访问——在互联网、SaaS、公有或私有云中是安全的。”
很赞哦! (119)