《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 被過度炒作的 “零信任”概念正在失去信任

被過度炒作的 “零信任”概念正在失去信任

2022-11-03
來源:安全牛
關(guān)鍵詞: 零信任

  零信任技術(shù)自從誕生之日起就備受關(guān)注,,被認為是網(wǎng)絡安全技術(shù)發(fā)展的顛覆性創(chuàng)新理念。但是研究人員發(fā)現(xiàn),,市場上過度的概念炒作和大量濫竽充數(shù)的偽零信任產(chǎn)品,正在讓企業(yè)安全團隊對“零信任”的期望值不斷降低,,并且感到厭倦,。Forrester高級分析師Heath Mullins表示:零信任已成為當前網(wǎng)絡安全領(lǐng)域濫用和誤解最嚴重的術(shù)語,用戶普遍困惑于哪些安全工具可以真正兌現(xiàn)零信任的安全承諾,。

  什么不是零信任,?

  一直以來,眾多安全供應商都在向其客戶大力宣傳零信任到底是什么,,但最終的結(jié)果是,,很多受訪CISO表示,“零信任就是桌子另一頭的營銷人員極力兜售的技術(shù)噱頭,!”因此,,現(xiàn)在有一個更加重要的問題是,讓客戶了解什么不是零信任,?

  零信任是一種架構(gòu),、一種策略和一個持續(xù)的安全防護目標,而不是可以用一個軟件包就能實現(xiàn)的東西,。有很多工具可以幫助組織開啟這個概念,,包括身份安全、訪問管理和網(wǎng)絡分段,,但目前還沒有一個產(chǎn)品可以提供零信任的完整功能,。

  研究人員表示,盡管實現(xiàn)零信任需要端到端的體系化安全能力支撐,,但并不是IT環(huán)境中的每一個安全控制措施都可以叫零信任產(chǎn)品。尤其是,,那些旨在防護企業(yè)邊界安全的傳統(tǒng)安全設(shè)備,,顯然無法幫助實現(xiàn)零信任。

  同時,,零信任是一種全面的安全防護模式變化,,不能將一切已有的安全設(shè)備和能力都裝入到新模式中。從根本上說,,傳統(tǒng)的網(wǎng)絡安全方法大都不是對用戶執(zhí)行的操作進行可信度鑒別和限制,,而只是保護相應的網(wǎng)絡空間和應用系統(tǒng)。

  因此,,不能聽信那些對零信任的定義夸夸其談的方案供應商,,這會對零信任的應用落地產(chǎn)生誤導。誰聲稱可以快速或輕松提供零信任,,就值得可疑,。大多數(shù)組織都處于實現(xiàn)零信任安全架構(gòu)的早期階段,,建設(shè)零信任需要時間,難以快速實現(xiàn),。

  零信任到底是什么,?

  零信任好比是如何阻止現(xiàn)代網(wǎng)絡攻擊方面的一套原則。今天的攻擊者往往遵循一定的軌跡:在初始進入到訪問環(huán)境之后,,他們會在網(wǎng)絡上橫向移動,,控制更多的應用帳戶,并提升帳戶權(quán)限,,以便可以采取另外更具破壞性的行動,。

  雖然最終的攻擊結(jié)果可能是部署勒索軟件或竊取數(shù)據(jù),但攻擊者必須首先摸清企業(yè)的IT環(huán)境,,才能真正觸及攻擊的目標,。在這個過程中,組織有很多機會可以發(fā)現(xiàn)入侵并關(guān)閉系統(tǒng),,減小安全事件的實際損害,。真正的零信任方案中,有很多技術(shù)手段可以實現(xiàn)這一點,,比如在訪問敏感資源之前多次核驗用戶權(quán)限及其行為,,或者將IT環(huán)境分成多個不同的子段,并賦予不同的安全策略,。

  實現(xiàn)零信任安全防護的前提是要消除隱性信任,。換句話說,不應該僅僅根據(jù)用戶能夠通過身份驗證,,就自動信任他們訪問應用程序和數(shù)據(jù),。相反,為了保障敏感資源的訪問安全,,應明確驗證該請求的各個方面,。

  經(jīng)過技術(shù)的發(fā)展,已經(jīng)有很多安全產(chǎn)品的設(shè)計邏輯與零信任理念高度匹配,,比如零信任網(wǎng)絡訪問,,它就是圍繞零信任原則而建的VPN替代技術(shù)。但僅僅部署該技術(shù)無法實現(xiàn)完整的零信任架構(gòu),。目前,,有許多網(wǎng)絡安全廠商圍繞零信任這一術(shù)語大做文章。比如在6月份的RSA安全會議上,,幾乎參展的每家廠商都打出了和零信任相關(guān)的市場營銷口號,,這給行業(yè)和用戶都造成了很大的困惑。

  有一條經(jīng)驗建議可以幫助用戶判斷某個產(chǎn)品是否符合零信任要求:對照相關(guān)的國家標準與第三方研究白皮書進行核驗,。以NIST在2020年頒布的零信任架構(gòu)文件為例,,其定義了零信任的關(guān)鍵目的是防止未經(jīng)授權(quán)的人訪問數(shù)據(jù)和服務,,另外對訪問控制的實施提出了精細化的參考指標。如果安全產(chǎn)品與該文件中的指標要求保持一致,,那么可以認為該產(chǎn)品有助于幫助企業(yè)實現(xiàn)零信任安全,。

  零信任安全的建設(shè)挑戰(zhàn)

  事實上,當零信任的用戶教育和市場宣傳告一段落后,,企業(yè)用戶真正關(guān)注的是零信任安全如何從概念到落地的問題,。對于大多數(shù)企業(yè)來說,開啟零信任安全建設(shè)會面臨諸多挑戰(zhàn):

  挑戰(zhàn)1,、碎片化的零信任措施

  大多數(shù)公司會采用碎片化的方式部署零信任措施,,這可能會降低零信任的安全防護能力,從而出現(xiàn)防護效果不理想的現(xiàn)象,。與此同時,,因?qū)嵤┝阈湃未胧┒艞墏鹘y(tǒng)安全產(chǎn)品,也可能會引發(fā)意想不到的安全風險,。因此,,零信任部署需要復雜的產(chǎn)品體系相互聯(lián)動配合才能成功。

  挑戰(zhàn)2,、遺留系統(tǒng)無法適應零信任

  在部署零信任措施對遺留系統(tǒng)與應用程序進行改造時,,大多數(shù)情況下會難以兼顧它們的邊界屬性,如果這些系統(tǒng)需要保留在原位,,那么就可能會產(chǎn)生新的安全漏洞或需要部署新的安全措施來保護它們,,這需要耗費大量的資金與時間。

  挑戰(zhàn)3,、持續(xù)的管理和維護

  零信任網(wǎng)絡安全模式需要持續(xù)的管理與維護,,可能需要額外的員工或使用托管服務。零信任部署依賴于由一個嚴格定義的權(quán)限組成的龐大網(wǎng)絡,,但企業(yè)是在不斷發(fā)展的,,員工的具體情況是實時變換的,這需要每次的訪問控制都必須更新,,以確保正確的人員可以訪問特定信息。保持權(quán)限的準確性和最新需要持續(xù)的輸入是非常難以實現(xiàn)的,。

  挑戰(zhàn)4,、對業(yè)務產(chǎn)生影響

  零信任部署可能會影響生產(chǎn)力。當員工身份發(fā)生變更而未及時更新,,將會導致員工訪問權(quán)限被鎖定,,無法訪問所需數(shù)據(jù),這會直接影響工作效率,,甚至產(chǎn)生比網(wǎng)絡安全本身更大的問題,。零信任需要跨各種數(shù)據(jù),、設(shè)備、系統(tǒng)和人員進行通信,,其中任何一環(huán)產(chǎn)生問題都將直接生產(chǎn)力,。

  挑戰(zhàn)5、零信任并非沒有風險

  雖然零信任的目標是提高安全性,,但它也不能免受風險的影響,。Gartner認為零信任存在如下潛在安全風險:

  信任代理是潛在的故障點,可能成為攻擊的目標,;

  本地計算機設(shè)備和應用系統(tǒng)也會受到攻擊,;

  用戶賬戶仍然可能被泄露;

  零信任管理員帳戶及權(quán)限或成為重點攻擊目標,。

  如何應對零信任挑戰(zhàn),?

  構(gòu)建零信任安全并不容易,但它已成為安全技術(shù)未來發(fā)展的主流方向之一,。對于許多企業(yè)來說,,零信任的建設(shè)需要全面改變架構(gòu)、流程和安全意識,,這不是一蹴而就的改變,,而是一個循序漸進的過程。企業(yè)在建立高效,、安全的零信任體系時,,需要做好以下準備。

  1,、充分進行零信任測試

  在將零信任方案投入生產(chǎn)環(huán)境之前,,需要對其進行充分的測試和安全評估。這不僅可以為用戶使用這些類型的系統(tǒng)提供經(jīng)驗,,還可以幫助管理員以及安全團隊掌握響應事件和處理安全問題的經(jīng)驗,,以改進未來的實施。

  2,、提前考慮業(yè)務需求和用戶體驗

  有效實施零信任模式需從業(yè)務需求入手,。詢問要保護什么資產(chǎn)、為何保護,,來確定哪些方面采用零信任技術(shù)能更有效提高安全能力,,這最終將支持企業(yè)的零信任戰(zhàn)略。

  安全和用戶體驗常常相沖突,,但是不一定非得這樣,。在敲定零信任安全流程、制定策略和明確需求之前,考慮用戶活動范圍變化和體驗,。推出零信任新模式后,,要考慮如何傳達體驗方面的優(yōu)勢(比如無密碼單點登錄),而不是一味關(guān)注安全方面的優(yōu)勢,。

  3,、合理規(guī)劃建設(shè)預期

  大多數(shù)供應商都聲稱可提供完整的零信任安全解決方案,但事實上沒有哪款產(chǎn)品能做到,。零信任是一種理念,,企業(yè)需要明確驗證身份、位置,、設(shè)備運行狀況,、服務及/或工作負載,旨在出現(xiàn)違規(guī)行為時盡量減小影響,、劃分訪問范圍,。成功的零信任安全項目大都從身份管理、多因子身份驗證和最低權(quán)限訪問等角度入手,,逐步建設(shè)完善,。

  4、建立零信任文化

  如果使用零信任安全以后,,企業(yè)員工的安全意識卻沒有同步提升,,這項技術(shù)的應用效果將難以充分發(fā)揮。將企業(yè)的安全防護與員工安全意識實現(xiàn)掛鉤,,對于提高零信任應用效率至關(guān)重要,。公司必須注重培養(yǎng)一種倡導透明、信任和開放溝通的企業(yè)文化,,輔以持續(xù)培訓和相應技術(shù)手段,,才可以有效提升員工的安全意識,全面防御所有攻擊面,。

  5,、持續(xù)關(guān)注零信任技術(shù)的發(fā)展

  遷移到零信任需要慎重規(guī)劃,盡早定義需要保護的關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施很重要?,F(xiàn)有系統(tǒng)和零信任環(huán)境需要時間磨合才能共存,,且對于大多數(shù)企業(yè)來說,不會是一次性升級,。目前零信任技術(shù)仍在快速成長,,持續(xù)了解零信任技術(shù)和解決方案的發(fā)展對于長期保護投資很重要。



更多信息可以來這里獲取==>>電子技術(shù)應用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。