來源：企業(yè)網(wǎng)D1Net

隨著網(wǎng)絡犯罪活動的增加，企業(yè)將業(yè)務遷移到云端，以及員工在家遠程工作導致的網(wǎng)絡攻擊面不斷擴大，零信任如今已成為企業(yè)保障網(wǎng)絡安全最有價值的措施。

采用零信任對于企業(yè)來說似乎是一項艱巨的任務，但其付出將獲得更多的回報。

公共會計、咨詢和技術商Crowe公司的網(wǎng)絡安全管理顧問Michael Salihoglu指出，原有的安全模式就像是一座堡壘，有圍墻、護城河和吊橋。

他說，“人們在堡壘中就可以做任何想做的事情，有著堅硬的外殼和軟肋，一旦被網(wǎng)絡攻擊者攻破將難以抵擋。”

他指出，零信任是實現(xiàn)安全性的一個重大轉變。

他說，“企業(yè)的安全性并不都是這樣的堡壘，但每個應用程序和數(shù)據(jù)存儲設施都是一種堡壘。每個人和一切都應該盡可能地經(jīng)過身份驗證，我們需要消除內(nèi)部網(wǎng)絡的固有信任?！?/span>

事實上，美國總統(tǒng)拜登在去年春天將零信任描述為改善美國網(wǎng)絡安全的行政命令的基石。

新的優(yōu)先事項

毫不奇怪，在iSMG公司對150位網(wǎng)絡安全領導者進行的調(diào)查中，很多受訪者都表示，零信任對降低他們的網(wǎng)絡安全風險都至關重要，46%的受訪者表示，這是他們在2022年最重要的安全實踐——領先于任何其他網(wǎng)絡安全項目或戰(zhàn)略。

根據(jù)調(diào)研機構Forrester公司在本月早些時候發(fā)布的對300多家大型企業(yè)的調(diào)查報告，78%的安全戰(zhàn)略高管計劃在今年增加對零信任的投入。

在過去幾個月發(fā)布的有關該主題的調(diào)查都表明，零信任是企業(yè)的首要任務。然而，在實施方面，很多企業(yè)才剛剛開始朝這個方向發(fā)展。

根據(jù)普華永道公司在去年12月對全球3600多名高管進行的調(diào)查，52%的受訪者表示他們已經(jīng)開始或計劃實施零信任，但只有11%的受訪者表示開始獲得采用零信任的好處，只有28%的受訪者表示已經(jīng)大規(guī)模實施了零信任。

Forrester公司的調(diào)查表明，表示完全部署零信任的受訪者只有6%，另有30%的受訪者表示將部分部署零信任。此外，63%的受訪者表示他們的零信任項目目前處于評估、戰(zhàn)略或試點階段。

如何實施零信任

美國國家標準與技術研究所(NIST)的國家網(wǎng)絡安全卓越中心目前正在制定一套操作指南和示例方法，以便在最常見的業(yè)務案例中更輕松地實施零信任，基本的NIST零信任架構參考指南已于2020年夏季發(fā)布。

去年秋天，美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布了其零信任成熟度模型，這是企業(yè)和機構用來過渡到零信任架構的路線圖。

與此同時，就在上個月，美國公共與預算管理辦公室(OMB)發(fā)布了一個聯(lián)邦戰(zhàn)略，以推進零信任架構，其中包括一個詳細的路線圖，任何組織(而不僅僅是政府機構和承包商)都可以將其用作模型。

美國網(wǎng)絡安全和基礎設施安全局(CISA)和美國公共與預算管理辦公室(OMB)都專注于零信任戰(zhàn)略的五個主要支柱——保護身份、設備、網(wǎng)絡、應用程序、數(shù)據(jù)。

以下是企業(yè)正確執(zhí)行此這一操作的一些最佳實踐。

01 從明確的業(yè)務目標開始

從零信任開始似乎是一項艱巨的任務。

Banyan Security公司的首席安全官Den Jones說：“你不能購買零信任產(chǎn)品，并期望奇跡會在一夜之間發(fā)生?！盝ones是Adobe公司和Cisco公司的前高管，也是零信任運動的先驅之一。

他指出，這種方法可以幫助關注有形的業(yè)務成果。

Jones說，“首席信息安全官應該專注于改善員工體驗或與違規(guī)行為相關的投資。”

另一個建議是逐步部署應用程序或用戶的零信任架構。這樣做可以逐步簡化整個過程，因為不必中止和替換現(xiàn)有的工作?？梢詫Ｗ⒂谄髽I(yè)內(nèi)的特定部門或團隊，而不是一次性完成整個業(yè)務。

02 通過了解保護面來優(yōu)先考慮業(yè)務風險

如今，許多安全從業(yè)者從潛在的攻擊面開始。企業(yè)的邊界在哪里?網(wǎng)絡攻擊者如何嘗試突破?零信任扭轉了這一局面。

Appgate Federal集團首席產(chǎn)品官Jason Garbis說，“首先要評估最高價值和最高風險的用戶和資產(chǎn)——應用程序和數(shù)據(jù)?！?/span>

他表示，這些是開始應用零信任原則的最佳場所。他說，“即使是很小的變化也會產(chǎn)生影響?！?/span>

03 當心分析癱瘓

轉向零信任是一項艱巨的任務，數(shù)據(jù)中心管理不應該試圖弄清楚如何一次完成所有事情。

Optiv Security公司工程研究員Jerry Chapman說，“零信任包括許多不同的安全控制和許多不同的技術。企業(yè)經(jīng)常陷入分析癱瘓。”

04 圍繞身份重新調(diào)整

Chapman表示，一個可能的起點是身份。

他說，“身份是零信任安全的基礎，但它不一定是完美的。但它確實必須具有某些關鍵元素，例如身份來源和基于角色的訪問控制。身份起源意味著知道所有身份的來源。不僅是用戶身份，還包括在構建零信任架構時在云中生成的服務帳戶和臨時身份。”

05 使用微分段構建網(wǎng)絡

Chapman表示，數(shù)據(jù)中心傳統(tǒng)上非常擅長管理網(wǎng)絡和周邊環(huán)境。在構建零信任架構的情況下，其原理是相同的，只是網(wǎng)絡和邊界會小得多。

他說，“微分段就是如何在數(shù)據(jù)中心創(chuàng)建一個微邊界，只有預先批準的流量才能進入?！?/span>

這與舊系統(tǒng)的白名單類似，除了批準的名單是基于策略而不是IP地址。維護一個網(wǎng)絡、防火墻和一組規(guī)則對于嘗試跨微段進行維護已經(jīng)足夠繁重了。采用人工工作不再能解決這個問題。

Chapman表示，這就是現(xiàn)代零信任網(wǎng)絡訪問解決方案使用機器學習或人工智能來了解良好流量的原因，并幫助企業(yè)以自動化方式創(chuàng)建訪問策略。

他補充說，“一旦在學習模式下找到了解決方案，就可以開始采取措施并禁用通用流量?！?/span>

06 實施政策、有條件的安全訪問控制和最小權限原則

在零信任的世界中，數(shù)據(jù)中心的安全性基于身份而不是基于特定的個人身份。

Chapman說，“企業(yè)必須開始考慮基于身份的安全策略。必須將范式從‘你從會計需要訪問某一個應用程序’更改為‘具有這些角色的用戶可以從會計服務器訪問這些數(shù)據(jù)?！@是一種高級別的模式，它消除了管理所有身份和訪問請求的細節(jié)?！?/span>

在這里，人工智能再次可以幫助企業(yè)自動生成角色和訪問策略。但人工智能尚未理解不斷變化的業(yè)務需求。僵化的角色和策略可能會阻止用戶和流程完成他們的工作。

07 允許合理范圍內(nèi)的例外情況以及政策限制范圍內(nèi)的例外情況

與任何技術一樣，實現(xiàn)零信任有良好的一方面，也有糟糕的一方面。

Chapman說，“如今，我看到了Active Directory環(huán)境非常糟糕，Active Directory已經(jīng)有20年的應用歷史，擁有5000個用戶和50000個群組?！?/span>

當企業(yè)添加策略、訪問權限和角色以滿足業(yè)務需求，然后累計到無法管理的混亂時，也會發(fā)生同樣的情況。

他說，其解決方案是建立一個治理流程。

他說，“零信任的前提是提供及時和足夠的訪問權限，有時，為了服務于某家企業(yè)的業(yè)務用例，可能面臨一個混亂的過程。我對這個企業(yè)提出的問題是，這種混亂的環(huán)境會持續(xù)多長時間?如果正在管理這個解決方案，當不再需要時，它就會被刪除。”

而且這種臨時訪問也可以依賴于策略。例如，如果某人需要訪問生產(chǎn)服務器以解決問題，則策略可能要求提供服務票證，說明服務器已經(jīng)關閉，并且只有在票證打開時才允許訪問。

08 可見性是關鍵

在企業(yè)可以圍繞身份、設備、網(wǎng)絡、應用程序和數(shù)據(jù)實施零信任之前，他們需要全面了解其環(huán)境，以及所有事物如何與其他事物連接。

Forescout Technologies公司全球醫(yī)療保健副總裁Tamer Baker說，“用戶、設備和服務都連接到數(shù)據(jù)中心，這是一個復雜的環(huán)境，只會由于采用云計算服務而變得更加復雜。如果企業(yè)試圖在不了解該環(huán)境的行為方式的情況下強制執(zhí)行，他們可能會對安全漏洞視而不見，或者破壞工作流。”

他表示，一旦獲得了全面的可見性，他們就可以開始了解需要哪些信任技術和執(zhí)行策略。

事實上，許多必要的技術可能已經(jīng)到位，只需要使用編排和策略引擎進行更新。

Baker補充說，“這就是為什么從了解所有連接的業(yè)務邏輯及其通信方式開始如此重要的原因，”

09 消除攻擊面

在傳統(tǒng)方法中，應用程序被發(fā)布到全球互聯(lián)網(wǎng)上。

Zscaler ThreatLabZ公司研究團隊負責人Desai說，“這意味著他們可以很容易地被對手發(fā)現(xiàn)?！?/span>

然后，網(wǎng)絡攻擊者將采用一切手段和措施以破壞企業(yè)防御機制，例如使用暴力破解、竊取的憑據(jù)或漏洞攻擊。

他說，“零信任方法通過隱藏源身份和混淆IP地址來避免將企業(yè)資產(chǎn)暴露在互聯(lián)網(wǎng)上?！?/span>

Desai表示，當應用程序對對手不可見并且只能由授權用戶訪問時，網(wǎng)絡攻擊面就會減少。他說，“它確保對應用程序的訪問——在互聯(lián)網(wǎng)、SaaS、公有或私有云中是安全的。”

版權聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。