11年前诞生的零信任安全模型已被网络安全行业的思想领袖和企业CISO广泛接受。而当拥有无限预算和资源的谷歌通过BeyondCorp项目实践并验证了零信任框架的有效性时,零信任安全模型进入了产品化和商业化的快车道。但时至今日,对于大多数企业而言,零信任之路依然充满陷阱和误区。十一年后,许多IT和安全决策者仍在努力就零信任达成战略共识。不同企业IT和安全基础设施的差距、需求的差异,以及零信任架构对持续提升能力和投入的要求,让很多企业连迈出第一步都困难重重。根据美国国家安全局(NSA)于2021年2月26日发布的零信任指南,零信任方法有四个关键点:协调主动系统监控、系统管理和防御性安全操作能力;假设所有关键资源和网络流量请求都可能是恶意的;假设所有设备和基础设施都可能受到损害;承认对关键资源的所有授权访问都会带来风险,并准备好执行快速损害评估、遏制和恢复操作。但现实是,假设所有设备、基础设施和流量都会受到损害,不仅在董事会中是徒劳的,在SOC中也是徒劳的。不幸的是,像零信任框架这样的方法无法提供实用的指导,例如清晰详细的建议或实施的后续步骤,导致一些零信任采用者为后来者挖了很多坑。常见的零信任神话在进一步讨论之前,让我们回顾一下零信任的六个基本组成部分:身份:描述、验证和保护所有企业帐户。这包括所有用户、服务、API和其他可以跨云、本地和远程属性进行访问的帐户。资产:扫描发现与企业IT环境相关的所有资产。与身份一样,企业需要描述、验证和保护任何地方的所有资产,包括:云、本地和远程。在授予对资产的访问权限之前,确保安全管理到位。应用程序:将所有影子IT、影子云和(员工)自带的应用程序转变为托管和安全的应用程序。根据当前分析和需求减少访问。监视、控制和纠正用户权限。数据:在整个ELT/ETL以及应用程序中识别、分类和标记其存储库中的数据。将重点从控制边界转移到控制数据访问。访问根据分类标签和内部策略进行加密和控制。基础设施:使用最小权限访问或“默认拒绝”原则监控异常和可疑攻击并发出警报。使用自动化来阻止异常和危险的行为。网络:识别属于高风险或高价值数据的网络区域。根据风险和价值划分不同的网络区域,并通过策略限制访问。在内部网络中部署加密。确保设备和用户不受信任,因为它们位于内部网络上。以下是企业在实施零信任框架或解决方案时应避免的四种常见误区:误区一:选择重要应用作为试验场性似乎更容易。但困难在于,你不知道这个应用程序如何与其他应用程序互连,它是如何被访问的,以及哪些用户需要访问该应用程序。零信任要求对每个应用程序进行分段,将它们彼此隔离。侵入特定的应用程序可能很困难,因为企业内部通常缺乏关于应用程序如何交互的知识和信息。更好的选择是从应用生态系统的一部分开始。然后您可以控制对该应用程序的访问,而不必担心服务交付失败。从应用程序生态系统着手意味着您可以专注于用户到应用程序的交互边界,而不必同时处理用户到应用程序、应用程序到应用程序和应用程序到基础设施的边界。会让你崩溃。误区2:关注身份大多数实施零信任的企业都会掉入一个陷阱,即零信任方法需要了解和定义企业中的每个身份。起初,这看起来很简单,但随后您会发现身份主体还包括许多服务、机器和应用程序。为了火上浇油,身份项目还必须包括权限,并且每个应用程序都有自己的授权模式,没有标准化。总之,只关注身份将导致您进行无休止的项目开发。正确的方法是关注用户帐户。我们从应用程序生态系统开始的目标是关注用户和应用程序边界。在身份方面,应该从交互式登录开始,比如用户在进行操作之前需要访问自己的账号。通过使用证书和循环凭证而不是通用登录来确保不可否认性。误区3:在任何地方从任何设备访问任何应用程序都会让您失去工作一种做生意的方式。这其实就是“零信任主义”共赢安防业务的最终目的和结果。对于刚开始实施零信任的团队,直接进入“顶级图表”会让你的防御漏洞百出。事实上,零信任的目的是从技术上表达一种对任何设备或网络不信任的态度(原则)。这是安全原则和范式的转移,也是一个循序渐进的过程。首先,为正确的应用程序提供正确的身份访问权限,并确保这些用户及其访问权限之间存在隔离。接下来,将批准的设备移动到可以对设备或用户进行身份验证的位置(确保相应的身份验证基础设施就位)。一旦零身份验证基础设施到位,您就可以进一步扩展可以访问网络的设备类型。误区四:放弃企业数据中心而上云,将大大加速零信任的实现从零信任的角度,将企业数据中心环境迁移到云端,必然带来安全灾难。这里的陷阱通常是缺乏对数据中心资产、它们所连接的对象以及企业各个部分的可见性。只是在云中重新实例化数据中心并不能为您提供那种可见性。实际上,这样做会进一步降低可见性,因为与数据中心相比,在云中增加摩擦的控制更少。在上云之前,请确保您对上述三个要素有足够的可见性:应用生态到用户的边界、进行身份验证所需的用户身份属性、需要访问资产的设备。数字化转型的趋势不可阻挡,这意味着企业将不可避免地走上零信任之路。现在的问题不再是要不要进入零信任,而是如何避免误会和陷阱。希望以上归纳的四个零信任误区能够帮助企业安全主管少走弯路。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
