《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 阻礙零信任實(shí)施的四大因素

阻礙零信任實(shí)施的四大因素

2020-12-28
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 零信任 阻礙

  根據(jù)定義,,零信任安全模型提倡創(chuàng)建區(qū)域和分段來(lái)控制敏感的IT資源,。這還需要部署技術(shù)來(lái)監(jiān)視和管理區(qū)域之間的數(shù)據(jù),更重要的是,,一個(gè)區(qū)域內(nèi)用戶之間的交互,。

  零信任安全模型重新定義了公司范圍內(nèi)的可信網(wǎng)絡(luò)的體系結(jié)構(gòu)。這件事情至關(guān)重要,,因?yàn)橄裨?、DevOps和IoT這樣的技術(shù)和過(guò)程已經(jīng)模糊或完全移除傳統(tǒng)邊界的概念。

  區(qū)域本身可以通過(guò)使用向下到主機(jī)或數(shù)據(jù)層的微分段來(lái)委托,,以實(shí)施零信任模型,。這意味著一個(gè)資源,比如一個(gè)服務(wù)器,,甚至一個(gè)數(shù)據(jù)庫(kù),,可以有多個(gè)區(qū)域來(lái)支持實(shí)現(xiàn)零信任所需的數(shù)據(jù)收集和監(jiān)視。

  零信任本質(zhì)上建立了信任,、驗(yàn)證和持續(xù)評(píng)估信任的模型,,用于進(jìn)一步訪問(wèn)和橫向移動(dòng)。

  雖然零信任已經(jīng)成為IT界的流行語(yǔ),,但在實(shí)踐中,,這種模式通常是不切實(shí)際的,或者說(shuō)是不現(xiàn)實(shí)的,。

  本文將回顧零信任模型的實(shí)際缺點(diǎn)和局限性,,并給出更好的解決方案,。

  01  零信任模式的成功之處

  Forrester為成功實(shí)施零信任勾勒出了一個(gè)路線圖。以下是Forrester的五步模型:

  1,、識(shí)別存儲(chǔ)和傳輸中的敏感數(shù)據(jù)

  執(zhí)行數(shù)據(jù)發(fā)現(xiàn)和分類

  根據(jù)數(shù)據(jù)分類對(duì)網(wǎng)絡(luò)進(jìn)行分段和分區(qū)

  2,、繪制敏感數(shù)據(jù)流入和流出的可接受路線圖

  對(duì)電子交換敏感數(shù)據(jù)所涉及的所有資源進(jìn)行分類評(píng)估數(shù)據(jù)工作流程,必要時(shí)重新設(shè)計(jì)

  驗(yàn)證現(xiàn)有的工作流程,,如PCI架構(gòu),,并驗(yàn)證設(shè)計(jì)

       3、構(gòu)造零信任的微邊界

  圍繞敏感數(shù)據(jù)確定微邊界,、區(qū)域和分段

  使用物理和虛擬安全控件實(shí)施分段

  基于這些控制和微邊界設(shè)計(jì)建立訪問(wèn)

  自動(dòng)化規(guī)則和訪問(wèn)策略基線

  審核并記錄所有訪問(wèn)和更改控制

  4,、使用安全分析詳細(xì)監(jiān)控零信任環(huán)境

  利用和確定組織內(nèi)現(xiàn)有的安全分析解決方案

  確定安全分析工具的邏輯架構(gòu)和最佳位置

  如果需要新的解決方案,請(qǐng)確定一個(gè)供應(yīng)商,,該供應(yīng)商正在向與您的組織相同的安全方向發(fā)展,,并且可以為您的其他安全解決方案提供分析

5、支持安全自動(dòng)化和自適應(yīng)響應(yīng)

  將業(yè)務(wù)流程轉(zhuǎn)化為技術(shù)自動(dòng)化

  記錄,、評(píng)估和測(cè)試安全運(yùn)營(yíng)中心的政策和程序,,以提高有效性和響應(yīng)能力將政策和程序與安全分析自動(dòng)化相關(guān)聯(lián),并確定可以從手動(dòng)流程中提升哪些內(nèi)容在您的環(huán)境和當(dāng)前解決方案中驗(yàn)證自動(dòng)化的安全性和實(shí)現(xiàn)02

  實(shí)現(xiàn)零信任的四大障礙

  雖然許多建議的方法都有優(yōu)點(diǎn),,而且似乎合乎邏輯,,但由于幾乎每個(gè)組織都面臨以下問(wèn)題,許多方法在實(shí)踐中難以實(shí)現(xiàn):

  1. 技術(shù)兼容困難

  如果您的組織開發(fā)自己的軟件以供使用,,并且應(yīng)用程序已經(jīng)使用了幾年以上,,那么將會(huì)出現(xiàn)技術(shù)兼容問(wèn)題。

  重新設(shè)計(jì),、重新編碼和重新部署內(nèi)部應(yīng)用程序可能代價(jià)高昂,,而且可能會(huì)造成服務(wù)中斷,。需要有一個(gè)正式的采取這些類型舉措的業(yè)務(wù)需求,。向現(xiàn)有應(yīng)用程序添加安全參數(shù)來(lái)實(shí)現(xiàn)零信任感知并不總是可行的。很有可能您現(xiàn)有的應(yīng)用程序無(wú)法實(shí)施零信任,。

  因此,,這取決于自身系統(tǒng)對(duì)自定義應(yīng)用程序的依賴程度,這將決定是否能夠采用零信任,,并確定所需的工作量和成本,。當(dāng)應(yīng)用程序與微邊界不兼容,或者缺少支持所需自動(dòng)化的應(yīng)用程序編程接口時(shí),,這種情況尤為明顯,。

  2. 遺留系統(tǒng)問(wèn)題

  遺留應(yīng)用程序、基礎(chǔ)設(shè)施和操作系統(tǒng)肯定無(wú)法通過(guò)零信任感知,。它們沒(méi)有最小權(quán)限或橫向移動(dòng)的概念,,也沒(méi)有動(dòng)態(tài)允許基于上下文使用進(jìn)行修改的身份驗(yàn)證模型,。

  任何零信任實(shí)現(xiàn)都需要分層或包裝方法來(lái)啟用這些系統(tǒng)。然而,,分層方法需要包裝對(duì)資源的外部訪問(wèn),,并且很少能夠與系統(tǒng)本身交互。這違背了零信任的前提,。您無(wú)法使用不兼容應(yīng)用程序來(lái)實(shí)施監(jiān)測(cè),。您可以篩選抓取、按鍵記錄,、監(jiān)控日志和網(wǎng)絡(luò)流量以查找潛在的惡意行為,,但其帶來(lái)的反饋是有限的。因此只能將遺留應(yīng)用程序的外部交互限制為用戶或其他資源,,而非響應(yīng)本身,。這限制了零信任的覆蓋范圍,并且基于遺留應(yīng)用程序的特性,,組織可能會(huì)發(fā)現(xiàn),,由于包括TLS 1.3在內(nèi)的大量加密要求,甚至監(jiān)視網(wǎng)絡(luò)流量都是不可行的,。

  3.點(diǎn)對(duì)點(diǎn)技術(shù)違反零信任原則

  如果您認(rèn)為您的組織不使用點(diǎn)對(duì)點(diǎn)(P2P)網(wǎng)絡(luò)技術(shù),,那么您可能不知道Windows 10中的默認(rèn)設(shè)置。

  從2015年開始,,Windows 10啟用了點(diǎn)對(duì)點(diǎn)技術(shù),,在對(duì)等系統(tǒng)之間共享Windows更新,以節(jié)省互聯(lián)網(wǎng)帶寬,。當(dāng)一些組織關(guān)閉它時(shí),,其他組織甚至不知道它的存在。這代表了系統(tǒng)之間的特權(quán)橫向運(yùn)動(dòng),,而這種運(yùn)動(dòng)基本上是不受控制的,。雖然此功能沒(méi)有出現(xiàn)任何漏洞和攻擊,但它確實(shí)提供了違反零信任模型的通信,。即使在指定的微邊界內(nèi)也不應(yīng)出現(xiàn)未經(jīng)授權(quán)的橫向移動(dòng),。

  此外,如果您使用ZigBee或其他網(wǎng)絡(luò)技術(shù)協(xié)議,,您會(huì)發(fā)現(xiàn)它們的操作完全與零信任背道而馳,。它們需要點(diǎn)對(duì)點(diǎn)通信來(lái)操作,信任模型嚴(yán)格基于密鑰或密碼,,沒(méi)有用于身份驗(yàn)證修改的動(dòng)態(tài)模型,。

  因此,如果你決定接受零信任,,請(qǐng)調(diào)查你的組織是否有點(diǎn)對(duì)點(diǎn)或mesh網(wǎng)絡(luò)技術(shù),,即使是無(wú)線網(wǎng)絡(luò),。這些都是實(shí)現(xiàn)零信任所需的訪問(wèn)和微邊界控制的巨大障礙。

  4.數(shù)字化轉(zhuǎn)型帶來(lái)的考驗(yàn)

  即使對(duì)于那些有能力建立一個(gè)新的數(shù)據(jù)中心,、實(shí)現(xiàn)基于角色的訪問(wèn)模型并100%接受零信任的組織來(lái)說(shuō),,數(shù)字化轉(zhuǎn)型的考慮也會(huì)使零信任理論難以被接受。

  云計(jì)算,、DevOps和IoT推動(dòng)的數(shù)字化轉(zhuǎn)型本身并不支持零信任模型,,因?yàn)樗枰~外的技術(shù)來(lái)細(xì)分和實(shí)施這一概念。對(duì)于大型部署,,這可能會(huì)導(dǎo)致成本高昂,,甚至可能影響解決方案與多用戶訪問(wèn)進(jìn)行正確交互的能力。如果您對(duì)此表示懷疑,,請(qǐng)僅考慮記錄每個(gè)事件以動(dòng)態(tài)訪問(wèn)項(xiàng)目范圍內(nèi)所有資源的存儲(chǔ)要求和許可證成本,。

  一些人可能對(duì)云確實(shí)包含分段和零信任模型表示不贊同,但這都取決于如何使用云,。將基礎(chǔ)架構(gòu)直接遷移到云端并不意味著零信任,。如果您在云中開發(fā)一個(gè)新的應(yīng)用程序作為一項(xiàng)服務(wù),那么它肯定可以接受零信任,。

  然而,,作為數(shù)字化轉(zhuǎn)型的一部分,僅僅轉(zhuǎn)移到云并不意味著直接能享受到零信任模型的益處,。如果您決定接受零信任并將其納入您的計(jì)劃,,那么在本文前面討論的所有原因的分層處理之后,它可能無(wú)法按照理想狀態(tài)實(shí)施工作,。

  03  當(dāng)考慮使用零信任時(shí)應(yīng)該怎么做

  零信任唯一能夠成功實(shí)現(xiàn)的方法就是,,無(wú)論是市場(chǎng)營(yíng)銷還是實(shí)際應(yīng)用,都要從一開始就實(shí)施零信任,。當(dāng)然,,這不是所有人都能做到的,除非他們開始一個(gè)全新的計(jì)劃,。

  特權(quán)訪問(wèn)管理 (PAM)

  遠(yuǎn)程訪問(wèn)

  漏洞管理

  簡(jiǎn)單地說(shuō),,如果您的組織還沒(méi)有接受特權(quán)訪問(wèn)和最小特權(quán)的概念,,并且仍然在維護(hù)共享的訪問(wèn)帳戶,,那么零信任將不起作用。

  當(dāng)一些PAM供應(yīng)商在推銷“零信任”解決方案時(shí),,這實(shí)際上只是一個(gè)零信任的開端,。他們其實(shí)并沒(méi)有提供一個(gè)包含的零信任的解決方案來(lái)解決整個(gè)問(wèn)題,這是一項(xiàng)龐大的任務(wù),,通常需要從一開始就以零信任作為驅(qū)動(dòng)安全原則來(lái)構(gòu)建正確的IT架構(gòu),。

  不過(guò),,公平地說(shuō),接受零信任的第一步是接受PAM,。

  PAM的主要功能有刪除管理權(quán)限,、管理帳戶和密碼、刪除共享帳戶,、合并會(huì)話記錄,、強(qiáng)制網(wǎng)絡(luò)通信等。只有在正確實(shí)現(xiàn)的前提下,,才能將其擴(kuò)展到零信任,,并且組織的其他部門在自動(dòng)化、微邊界訪問(wèn)控制,、數(shù)據(jù)發(fā)現(xiàn)和安全分析方面都支持零信任,。

  并非所有的特權(quán)訪問(wèn)都發(fā)生在傳統(tǒng)的公司范圍內(nèi)。零信任要求對(duì)資源進(jìn)行嚴(yán)格控制,,以實(shí)施微邊界模型,。

  無(wú)論是剛起步的初創(chuàng)企業(yè)還是成熟的企業(yè),對(duì)特權(quán)資源的零信任都無(wú)法管理不在范圍內(nèi)的內(nèi)容,。零信任要求對(duì)所有請(qǐng)求訪問(wèn)的內(nèi)容進(jìn)行完全控制,,但當(dāng)它位于外部時(shí),它可能會(huì)產(chǎn)生變化,。用戶(遠(yuǎn)程員工,、承包商等)和應(yīng)用程序訪問(wèn)需要有特權(quán)的遠(yuǎn)程訪問(wèn)才能建立安全連接并管理來(lái)自非托管系統(tǒng)的威脅。

  零信任模型對(duì)于確保人員和承包商在微邊界以外的遠(yuǎn)程訪問(wèn)的便利性非常有限(如果有的話),。請(qǐng)考慮基于連接源及其憑據(jù),、上下文和權(quán)限的總體安全性對(duì)微邊界的所有訪問(wèn)。

  零信任專注于用戶訪問(wèn),、基于角色的訪問(wèn),、橫向移動(dòng)、微邊界,、用戶分析和行為,。對(duì)于一個(gè)成熟的公司來(lái)說(shuō),零信任基于現(xiàn)有安全程序部署,,但卻忽略了一個(gè)最基本的流程:漏洞和補(bǔ)丁管理,。

  如果用戶訪問(wèn)的資源容易受到其他類型的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和漏洞攻擊,那么控制用戶是毫無(wú)意義的,。因此不應(yīng)授予易受攻擊的應(yīng)用程序管理權(quán)限,。

  橫向移動(dòng)和權(quán)限利用只能從兩個(gè)攻擊媒介中發(fā)生:

  特權(quán)攻擊媒介(由于帳戶和密碼管理不善)

  漏洞和攻擊組合

  要使零信任有效,不僅需要考慮用戶,還需要考慮資源本身的風(fēng)險(xiǎn),。如果資產(chǎn)具有可遠(yuǎn)程利用的關(guān)鍵缺陷,,則永遠(yuǎn)不會(huì)在零信任模型中授予訪問(wèn)權(quán)限。零信任忽略了資源風(fēng)險(xiǎn),,而過(guò)分關(guān)注訪問(wèn)控制,。

  零信任模型已經(jīng)并不新奇。像PCI這樣的監(jiān)管標(biāo)準(zhǔn)已經(jīng)出臺(tái)了很多年,,包含了概念,,分析和自動(dòng)化?;驹頉](méi)有什么問(wèn)題,,但不考慮堆棧中的現(xiàn)有技術(shù)、戰(zhàn)略方向以及用于遠(yuǎn)程訪問(wèn)和漏洞管理的技術(shù)的話,,它就只是一種解釋概念的理論方法,,而不是一種可以購(gòu)買的可對(duì)現(xiàn)有系統(tǒng)進(jìn)行改造的解決方案。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。