采用零信任对于企业来说似乎是一项艰巨的任务,但付出的努力会得到更多的回报。公共会计、咨询和技术公司Crowe的网络安全管理顾问MichaelSalihoglu表示,旧的安全模型就像一座堡垒,有围墙、护城河和吊桥。“人们可以在堡垒中为所欲为,有硬壳和软肋,一旦网络攻击者突破,将难以抵抗,”他说,并指出零信任是安全领域的重大转变。“企业安全并非都是这样的堡垒,但每个应用程序和数据存储设施都是一个堡垒,”他说。“每个人和每件事都应该尽可能经过身份验证,我们需要消除内部网络的障碍。”与生俱来的信任。”事实上,美国总统乔拜登去年春天将零信任描述为改善美国网络安全的行政命令的基石。新优先事项毫不奇怪,在iSMG对150名网络安全领导者进行的调查中,许多受访者表示零信任对于降低他们的网络安全风险至关重要,46%的人表示这是他们2022年最重要的安全实践——领先于任何其他网络安全项目或战略。根据研究公司Forrester本月早些时候发布的对300多家大型企业的调查,78%的安全战略高管计划在今年增加对零信任的投资。过去几个月发布的关于该主题的调查都表明,零信任是企业的首要任务。然而,在实施方面,许多企业才刚刚开始朝这个方向发展。普华永道去年12月对全球10多名高管进行的一项调查显示,52%的受访者表示已经开始或计划实施零信任,但只有11%的人表示已经开始。受益于采用零信任,只有28%的受访者表示他们已经大规模实施了零信任。根据Forrester的调查,只有6%的受访者表示他们将完全部署零信任,另有30%的受访者表示他们将部分部署零信任。此外,63%的受访者表示他们的零信任项目目前处于评估、战略或试点阶段。如何实施零信任美国国家标准与技术研究院(NIST)的国家网络安全卓越中心目前正在制定一套操作指南和示例方法,以更轻松地在最常见的业务案例中实施零信任。信任架构参考指南于2020年夏季发布。去年秋天,美国网络安全和基础设施安全局(CISA)发布了零信任成熟度模型,这是企业和机构向零信任架构过渡的路线图。与此同时,就在上个月,美国公共管理和预算办公室(OMB)发布了一项推进零信任架构的联邦战略,其中包括针对任何组织的详细路线图,而不仅仅是政府机构和承包商。商)可以用作模型。美国网络安全和基础设施安全局(CISA)和美国公共和预算管理办公室(OMB)都专注于零信任战略的五个主要支柱——保护身份、设备、网络、应用程序和数据。以下是企业正确执行此操作的一些最佳实践。(1)从明确的业务目标开始从零信任开始似乎是一项艰巨的任务。BanyanSecurity首席安全官、前Adob??e和思科高管、零信任运动的先驱之一丹·琼斯说:“你不能购买零信任产品并期望奇迹在一夜之间发生。”.他指出,这种方法有助于专注于有形的业务成果。“首席信息安全官应该专注于改善员工体验或与违规相关的投资,”琼斯说。另一个建议是逐步为应用程序或用户部署零信任架构。这样做可以逐步简化流程,因为不必中断和替换现有工作。您可以专注于业务中的特定部门或团队,而不是一次处理整个业务。(2)通过了解保护面来确定业务风险的优先级如今,许多安全从业者都从潜在的攻击面着手。企业的边界在哪里?网络攻击者如何尝试突破?零信任扭转了局面。“首先评估最高价值和最高风险的用户和资产——应用程序和数据,”AppgateFederal集团首席产品官JasonGarbis说。他说,这些是开始应用零信任原则的最佳场所。“即使是微小的变化也会产生影响,”他说。(3)谨防分析瘫痪转向零信任是一项艰巨的任务,数据中心管理层不应该试图一下子弄清楚如何做到这一点。根据OptivSecurity的工程研究员JerryChapman的说法,“零信任包括许多不同的安全控制和许多不同的技术。企业经常遭受分析瘫痪。”(4)围绕身份重新调整根据查普曼的说法,一个可能的起点是身份。他说,“身份是零信任安全的基础,但它不一定是完美的。但它必须具有某些关键要素,例如身份来源和基于角色的访问控制。身份来源意味着知道来源所有身份。不仅是用户身份,还包括构建零信任架构时在云中生成的服务帐户和临时身份。”(5)构建具有微分段的网络数据中心传统上非常擅长管理网络和边界,Chapman说。在构建零信任架构的情况下,原理是一样的,只是网络和边界会小很多。“微分段是你如何在数据中心创建一个微边界,只有预先批准的流量才能进入,”他说。它类似于旧系统的白名单,除了批准的列表是基于策略而不是IP地址。维护网络、防火墙和规则集的负担足以尝试跨微分段进行维护。使用手工作业已经无法解决这个问题。Chapman说,这就是现代零信任网络访问解决方案使用机器学习或人工智能来了解良好流量并帮助企业以自动化方式创建访问策略的原因。他补充说,“一旦你在学习模式中找到解决方案,你就可以开始采取行动并禁用常见流量。”(6)实施策略、条件安全访问控制和最小特权原则。在零信任的世界中,数据中心的安全是基于身份而不是特定的个人身份。“企业必须开始考虑基于身份的安全策略,”查普曼说。“你必须改变范式,从‘你需要从会计访问某个应用程序’到‘具有这些角色的用户可以从会计服务器访问这些数据。’”这是一个高级模式,删除了管理所有身份和访问请求的细节。”同样,AI可以帮助企业自动生成角色和访问策略。但是AI还没有理解不断变化的业务需求。刚性角色和策略会阻止用户和流程完成他们的工作。(7)在合理和策略限制内允许异常As对于任何技术,实施零信任都有好的和坏的方面。“今天,我看到了一个非常糟糕的ActiveDirectory环境,”查普曼说,“ActiveDirectory已有20年的历史,拥有5,000个用户和50,000个组。”作为公司添加策略、访问权限和角色以满足业务需求,然后当它建立到无法管理的混乱时,同样的事情也会发生。他说,解决方案是建立一个治理流程。他说,“零信任的前提是提供及时和足够的访问权限。有时,为了服务于企业的业务用例,可能会面临一个混乱的流程。我对这个企业的问题是,这种混乱的环境会持续多久?如果解决方案正在管理中,则在不再需要时将被删除。”而且这种临时访问也可以是策略相关的。例如,如果有人需要访问生产服务器来解决问题,该策略可能需要服务票据,说明服务器已关闭,并且只有在票据打开时才允许访问。(8)可见性是关键在企业能够围绕身份、设备、网络、应用程序和数据实施零信任之前,他们需要全面了解其环境以及万物如何相互连接。ForescoutTechnologies全球医疗保健副总裁TamerBaker表示,“用户、设备和服务都连接到数据中心。这是一个复杂的环境,只会因采用云计算服务而变得更加复杂。如果不强制执行环境的行为方式,他们可能会对安全漏洞视而不见,或破坏工作流程。”他说,一旦他们获得全面的可见性,他们就可以开始了解需要哪些信任技术和执行策略。事实上,许多必要的技术可能已经到位,只需要通过编排和策略引擎进行更新,“这就是为什么从了解所有连接的业务逻辑以及它们如何通信开始如此重要,”(9)消除攻击面在传统方法中,应用程序被发布到全球互联网。“这意味着它们可以很容易被对手发现,”ZscalerThreatLabZ研究团队负责人德赛说。网络攻击者随后会使用一切手段和措施来破坏企业防御,例如使用暴力破解、窃取凭据或漏洞攻击。“零信任方法通过隐藏源身份和混淆IP地址来避免将公司资产暴露在互联网上,”他说。Desai说,当应用程序对对手不可见并且可以只能由授权用户访问,网络的攻击面减少了。减少。“它保护对应用程序的访问——在互联网上、在SaaS中、在公共或私有云中,”他说。
