11年前誕生的零信任安全模型已被網路安全產業的思想領袖和企業CISO們廣泛接受。而當擁有無窮預算和資源的Google透過BeyondCorp專案踐行和驗證了零信任框架的有效性後,零信任安全模型進入了產品化和商業化的快車道。但是今天,對於大多數企業來說,通往零信任的道路上依然佈滿了陷阱和誤區。
11年後,很多IT和安全決策者依然難以就零信任達成戰略上的共識。不同企業的IT和安全基礎設施的差距、需求的差異化、零信任架構對持續改進能力和投入的要求,導致很多企業甚至難以邁出第一步。
根據2021年2月26日美國國家安全域性(NSA)釋出的零信任指南,零信任方法有四個關鍵點:
協調主動的系統監控、系統管理和防禦性安全運營能力;
假設所有對關鍵資源和網路流量的請求都可能是惡意的;
假設所有裝置和基礎架構都可能受到威脅;
承認對關鍵資源的所有訪問授權均會帶來風險,並隨時準備執行快速的損害評估,控制和恢復操作。
但現實是,假定所有裝置、基礎設施和流量都會遭遇入侵不僅在董事會上會炸鍋,在SOC中也是徒勞的。不幸的是,像零信任框架這樣的方法體系無法提供實用性指導,例如清晰詳細的建議或後續實施步驟,這導致一些零信任採用者給後來者挖了很多大坑。
常見的零信任誤區
在進一步討論之前,我們先回顧一下零信任的六個基本元件:
身份:
描述、驗證和保護所有的企業賬戶。這包括整個雲、本地和遠端資產中的所有使用者、服務、API和其他擁有訪問許可權的賬戶。
資產:
掃描發現與企業IT環境有關的所有資產。與身份一樣,企業需要描述、驗證和保護任何位置的所有資產,包括:雲、本地和遠端。在授予資產訪問許可權之前,請確保安全管理已經就緒。
應用程式:
將所有影子IT、影子云和(員工)自帶應用程式轉換為託管和受保護的應用程式。根據當前的分析和需求減少訪問量。監視、控制和糾正使用者許可權。
資料:
在整個ELT/ETL以及應用程式中,在其儲存庫中識別、分類和標記資料。將注意力從控制周邊轉移到控制資料訪問。根據分類標籤和內部策略對訪問進行加密和控制。
基礎架構:
採用最小特權訪問或“預設拒絕”原則,監視異常和可疑攻擊併發出警報。使用自動化來阻止異常和危險行為。
網路:
明確高風險或高價值資料的網路區域。透過風險和價值來劃分不同的網路區域,並透過策略來限制訪問。在內部網路中部署加密。確保裝置和使用者不因位於內部網路中而受到信任。
以下是企業在實施零信任框架或方案時,應該避免的四個常見誤區:
誤區1:選擇一個重要的應用程式作為試驗場
這是很常見的一個誤區,因為從單個應用開始驗證零信任的有效性似乎更容易。但困難在於您不知道這個應用與其他應用程式的互連,它的訪問途徑以及哪些使用者需要對應用程式的訪問許可權。
零信任要求對每個應用程式進行細分,將它們彼此隔離。由於企業內部通常缺乏有關應用程式互動方式的知識和資訊,因此從特定應用程式切入非常困難。
更好的選擇是從應用程式生態系統的細分入手。然後,你可以控制對該應用程式的訪問,而不必擔心服務交付失敗。從處理應用程式生態系統入手意味著你可以將注意力集中在使用者到應用程式的互動邊界上,而不必同時處理使用者到應用程式、應用程式到應用程式,以及應用程式到基礎結構的邊界,這會讓你崩潰。
誤區2:專注於身份
大多數實施零信任的企業都會掉入一個陷阱,那就是零信任方案需要理解和定義企業中的每個身份。最初,這似乎很簡單,但隨後你會發現身份主體還包括大量服務、機器和應用程式。火上澆油的是,身份專案還必須包含許可權,並且每個應用程式都有其自己的授權架構,且沒有標準化。總之,僅專注於身份會讓你掉入無休止的專案開發泥沼。
正確的做法是將重點放在使用者賬戶上。我們從應用程式生態系統入手的目的是關注使用者和應用程式邊界。身份方面,應該從互動式登入入手,例如使用者執行操作前需要訪問賬戶。透過使用證書和迴圈憑證來代替通用登入,確保不可否認性。
誤區3:在任何地方向任何裝置提供向任何應用程式的訪問許可權都會導致丟掉工作
大多數董事會的高管們對零信任的理解都比較“簡單粗暴”,那就是:零信任就是可以用任何裝置開展業務的一種方式。這實際上是“零信任主義”安全業務雙贏的終極目標和結果。對於剛剛開始實施零信任的團隊來說,直奔“最高綱領”會讓你的防禦系統漏洞百出。事實上,零信任的目的是從技術上表達對任何裝置或網路的不信任態度(原則)。這是一個安全原則和範型的轉移,也是一個循序漸進的過程。
首先,提供對正確應用程式的正確身份訪問,並確保這些使用者及其訪問之間存在細分。接下來,將已批准的裝置移至可對裝置或使用者進行身份驗證的位置(確保已建立對應的身份驗證基礎結構)。一旦建立零身份驗證基礎設施,你就可以進一步擴充套件可訪問網路的裝置型別。
誤區4:放棄企業資料中心,使用雲將大大加快零信任的實現
從零信任的角度來看,將企業資料中心環境轉移到雲中不可避免地會帶來安全災難。這裡的陷阱通常是缺乏對資料中心資產,它們所連線的物件,以及企業各部門的可見性。僅在雲中重新例項化資料中心並不能賦予您這種可見性。實際上,這樣做會進一步降低可見性,因為與資料中心相比,可在雲端增加摩擦的控制元件更少。
在遷移到雲之前,請確保對以上提到三大要素有足夠的可見度:應用程式生態系統到使用者的邊界,執行身份驗證所需的使用者身份屬性,以及需要訪問資產的裝置。
數字化轉型的趨勢已經不可阻擋,這意味著企業將無可避免地走上零信任之路。現在的問題不再是上不上零信任,而是如何避免誤區和陷阱,希望以上總結的四個零信任誤區能夠幫助企業安全主管們少走彎路。
