零信任的四大问题
发布时间:2022-07-01 14:17:04 所属栏目:安全 来源:互联网
导读:11年前诞生的零信任安全模型已被网络安全产业的思想领袖和企业CISO们广泛接受。而当拥有无穷预算和资源的Google通过BeyondCorp项目践行和验证了零信任框架的有效性后,零信任安全模型进入了产品化和商业化的快车道。但是今天,对于大多数企业来说,通往零信
|
11年前诞生的零信任安全模型已被网络安全产业的思想领袖和企业CISO们广泛接受。而当拥有无穷预算和资源的Google通过BeyondCorp项目践行和验证了零信任框架的有效性后,零信任安全模型进入了产品化和商业化的快车道。但是今天,对于大多数企业来说,通往零信任的道路上依然布满了陷阱和误区。 根据2021年2月26日美国国家安全局(NSA)发布的零信任指南,零信任方法有四个关键点: 协调主动的系统监控、系统管理和防御性安全运营能力; 假设所有对关键资源和网络流量的请求都可能是恶意的; 假设所有设备和基础架构都可能受到威胁; 承认对关键资源的所有访问授权均会带来风险,并随时准备执行快速的损害评估,控制和恢复操作。 但现实是,假定所有设备、基础设施和流量都会遭遇入侵不仅在董事会上会炸锅,在SOC中也是徒劳的。不幸的是,像零信任框架这样的方法体系无法提供实用性指导,例如清晰详细的建议或后续实施步骤,这导致一些零信任采用者给后来者挖了很多大坑。 常见的零信任误区 在进一步讨论之前,我们先回顾一下零信任的六个基本组件: 身份:描述、验证和保护所有的企业账户。这包括整个云、本地和远程资产中的所有用户、服务、API和其他拥有访问权限的账户。 资产:扫描发现与企业IT环境有关的所有资产。与身份一样,企业需要描述、验证和保护任何位置的所有资产,包括:云、本地和远程。在授予资产访问权限之前,请确保安全管理已经就绪。 以下是企业在实施零信任框架或方案时,应该避免的四个常见误区: 误区1:选择一个重要的应用程序作为试验场 这是很常见的一个误区,因为从单个应用开始验证零信任的有效性似乎更容易。但困难在于您不知道这个应用与其他应用程序的互连,它的访问途径以及哪些用户需要对应用程序的访问权限。 零信任要求对每个应用程序进行细分,将它们彼此隔离。由于企业内部通常缺乏有关应用程序交互方式的知识和信息,因此从特定应用程序切入非常困难。 更好的选择是从应用程序生态系统的细分入手。然后,你可以控制对该应用程序的访问,而不必担心服务交付失败。从处理应用程序生态系统入手意味着你可以将注意力集中在用户到应用程序的交互边界上,而不必同时处理用户到应用程序、应用程序到应用程序,以及应用程序到基础结构的边界,这会让你崩溃。 误区2:专注于身份 大多数实施零信任的企业都会掉入一个陷阱,那就是零信任方案需要理解和定义企业中的每个身份。最初,这似乎很简单,但随后你会发现身份主体还包括大量服务、机器和应用程序。火上浇油的是,身份项目还必须包含权限,并且每个应用程序都有其自己的授权架构,且没有标准化。总之,仅专注于身份会让你掉入无休止的项目开发泥沼。 首先,提供对正确应用程序的正确身份访问,并确保这些用户及其访问之间存在细分。接下来,将已批准的设备移至可对设备或用户进行身份验证的位置(确保已建立对应的身份验证基础结构)。一旦建立零身份验证基础设施,你就可以进一步扩展可访问网络的设备类型。 误区4:放弃企业数据中心,使用云将大大加快零信任的实现 从零信任的角度来看,将企业数据中心环境转移到云中不可避免地会带来安全灾难。这里的陷阱通常是缺乏对数据中心资产,它们所连接的对象,以及企业各部门的可见性。仅在云中重新实例化数据中心并不能赋予您这种可见性。实际上,这样做会进一步降低可见性,因为与数据中心相比,可在云端增加摩擦的控件更少。 在迁移到云之前,请确保对以上提到三大要素有足够的可见度:应用程序生态系统到用户的边界,执行身份验证所需的用户身份属性,以及需要访问资产的设备。 数字化转型的趋势已经不可阻挡,这意味着企业将无可避免地走上零信任之路。现在的问题不再是上不上零信任,而是如何避免误区和陷阱,希望以上总结的四个零信任误区能够帮助企业安全主管们少走弯路。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号