《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 被過度炒作的 “零信任”概念正在失去信任

被過度炒作的 “零信任”概念正在失去信任

2022-11-03
來源:安全牛
關(guān)鍵詞: 零信任

  零信任技術(shù)自從誕生之日起就備受關(guān)注,,被認(rèn)為是網(wǎng)絡(luò)安全技術(shù)發(fā)展的顛覆性創(chuàng)新理念。但是研究人員發(fā)現(xiàn),,市場上過度的概念炒作和大量濫竽充數(shù)的偽零信任產(chǎn)品,,正在讓企業(yè)安全團(tuán)隊對“零信任”的期望值不斷降低,,并且感到厭倦。Forrester高級分析師Heath Mullins表示:零信任已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域?yàn)E用和誤解最嚴(yán)重的術(shù)語,,用戶普遍困惑于哪些安全工具可以真正兌現(xiàn)零信任的安全承諾,。

  什么不是零信任?

  一直以來,,眾多安全供應(yīng)商都在向其客戶大力宣傳零信任到底是什么,,但最終的結(jié)果是,很多受訪CISO表示,,“零信任就是桌子另一頭的營銷人員極力兜售的技術(shù)噱頭,!”因此,現(xiàn)在有一個更加重要的問題是,,讓客戶了解什么不是零信任,?

  零信任是一種架構(gòu)、一種策略和一個持續(xù)的安全防護(hù)目標(biāo),,而不是可以用一個軟件包就能實(shí)現(xiàn)的東西,。有很多工具可以幫助組織開啟這個概念,,包括身份安全、訪問管理和網(wǎng)絡(luò)分段,,但目前還沒有一個產(chǎn)品可以提供零信任的完整功能,。

  研究人員表示,盡管實(shí)現(xiàn)零信任需要端到端的體系化安全能力支撐,,但并不是IT環(huán)境中的每一個安全控制措施都可以叫零信任產(chǎn)品,。尤其是,那些旨在防護(hù)企業(yè)邊界安全的傳統(tǒng)安全設(shè)備,,顯然無法幫助實(shí)現(xiàn)零信任,。

  同時,零信任是一種全面的安全防護(hù)模式變化,,不能將一切已有的安全設(shè)備和能力都裝入到新模式中,。從根本上說,傳統(tǒng)的網(wǎng)絡(luò)安全方法大都不是對用戶執(zhí)行的操作進(jìn)行可信度鑒別和限制,,而只是保護(hù)相應(yīng)的網(wǎng)絡(luò)空間和應(yīng)用系統(tǒng),。

  因此,不能聽信那些對零信任的定義夸夸其談的方案供應(yīng)商,,這會對零信任的應(yīng)用落地產(chǎn)生誤導(dǎo),。誰聲稱可以快速或輕松提供零信任,就值得可疑,。大多數(shù)組織都處于實(shí)現(xiàn)零信任安全架構(gòu)的早期階段,,建設(shè)零信任需要時間,難以快速實(shí)現(xiàn),。

  零信任到底是什么,?

  零信任好比是如何阻止現(xiàn)代網(wǎng)絡(luò)攻擊方面的一套原則。今天的攻擊者往往遵循一定的軌跡:在初始進(jìn)入到訪問環(huán)境之后,,他們會在網(wǎng)絡(luò)上橫向移動,,控制更多的應(yīng)用帳戶,并提升帳戶權(quán)限,,以便可以采取另外更具破壞性的行動,。

  雖然最終的攻擊結(jié)果可能是部署勒索軟件或竊取數(shù)據(jù),但攻擊者必須首先摸清企業(yè)的IT環(huán)境,,才能真正觸及攻擊的目標(biāo),。在這個過程中,組織有很多機(jī)會可以發(fā)現(xiàn)入侵并關(guān)閉系統(tǒng),,減小安全事件的實(shí)際損害,。真正的零信任方案中,有很多技術(shù)手段可以實(shí)現(xiàn)這一點(diǎn),比如在訪問敏感資源之前多次核驗(yàn)用戶權(quán)限及其行為,,或者將IT環(huán)境分成多個不同的子段,,并賦予不同的安全策略。

  實(shí)現(xiàn)零信任安全防護(hù)的前提是要消除隱性信任,。換句話說,,不應(yīng)該僅僅根據(jù)用戶能夠通過身份驗(yàn)證,就自動信任他們訪問應(yīng)用程序和數(shù)據(jù),。相反,,為了保障敏感資源的訪問安全,應(yīng)明確驗(yàn)證該請求的各個方面,。

  經(jīng)過技術(shù)的發(fā)展,,已經(jīng)有很多安全產(chǎn)品的設(shè)計邏輯與零信任理念高度匹配,比如零信任網(wǎng)絡(luò)訪問,,它就是圍繞零信任原則而建的VPN替代技術(shù),。但僅僅部署該技術(shù)無法實(shí)現(xiàn)完整的零信任架構(gòu)。目前,,有許多網(wǎng)絡(luò)安全廠商圍繞零信任這一術(shù)語大做文章,。比如在6月份的RSA安全會議上,,幾乎參展的每家廠商都打出了和零信任相關(guān)的市場營銷口號,,這給行業(yè)和用戶都造成了很大的困惑。

  有一條經(jīng)驗(yàn)建議可以幫助用戶判斷某個產(chǎn)品是否符合零信任要求:對照相關(guān)的國家標(biāo)準(zhǔn)與第三方研究白皮書進(jìn)行核驗(yàn),。以NIST在2020年頒布的零信任架構(gòu)文件為例,,其定義了零信任的關(guān)鍵目的是防止未經(jīng)授權(quán)的人訪問數(shù)據(jù)和服務(wù),另外對訪問控制的實(shí)施提出了精細(xì)化的參考指標(biāo),。如果安全產(chǎn)品與該文件中的指標(biāo)要求保持一致,,那么可以認(rèn)為該產(chǎn)品有助于幫助企業(yè)實(shí)現(xiàn)零信任安全。

  零信任安全的建設(shè)挑戰(zhàn)

  事實(shí)上,,當(dāng)零信任的用戶教育和市場宣傳告一段落后,,企業(yè)用戶真正關(guān)注的是零信任安全如何從概念到落地的問題。對于大多數(shù)企業(yè)來說,,開啟零信任安全建設(shè)會面臨諸多挑戰(zhàn):

  挑戰(zhàn)1,、碎片化的零信任措施

  大多數(shù)公司會采用碎片化的方式部署零信任措施,這可能會降低零信任的安全防護(hù)能力,,從而出現(xiàn)防護(hù)效果不理想的現(xiàn)象,。與此同時,因?qū)嵤┝阈湃未胧┒艞墏鹘y(tǒng)安全產(chǎn)品,,也可能會引發(fā)意想不到的安全風(fēng)險,。因此,零信任部署需要復(fù)雜的產(chǎn)品體系相互聯(lián)動配合才能成功。

  挑戰(zhàn)2,、遺留系統(tǒng)無法適應(yīng)零信任

  在部署零信任措施對遺留系統(tǒng)與應(yīng)用程序進(jìn)行改造時,,大多數(shù)情況下會難以兼顧它們的邊界屬性,如果這些系統(tǒng)需要保留在原位,,那么就可能會產(chǎn)生新的安全漏洞或需要部署新的安全措施來保護(hù)它們,,這需要耗費(fèi)大量的資金與時間。

  挑戰(zhàn)3,、持續(xù)的管理和維護(hù)

  零信任網(wǎng)絡(luò)安全模式需要持續(xù)的管理與維護(hù),,可能需要額外的員工或使用托管服務(wù)。零信任部署依賴于由一個嚴(yán)格定義的權(quán)限組成的龐大網(wǎng)絡(luò),,但企業(yè)是在不斷發(fā)展的,,員工的具體情況是實(shí)時變換的,這需要每次的訪問控制都必須更新,,以確保正確的人員可以訪問特定信息,。保持權(quán)限的準(zhǔn)確性和最新需要持續(xù)的輸入是非常難以實(shí)現(xiàn)的。

  挑戰(zhàn)4,、對業(yè)務(wù)產(chǎn)生影響

  零信任部署可能會影響生產(chǎn)力,。當(dāng)員工身份發(fā)生變更而未及時更新,將會導(dǎo)致員工訪問權(quán)限被鎖定,,無法訪問所需數(shù)據(jù),,這會直接影響工作效率,甚至產(chǎn)生比網(wǎng)絡(luò)安全本身更大的問題,。零信任需要跨各種數(shù)據(jù),、設(shè)備、系統(tǒng)和人員進(jìn)行通信,,其中任何一環(huán)產(chǎn)生問題都將直接生產(chǎn)力,。

  挑戰(zhàn)5、零信任并非沒有風(fēng)險

  雖然零信任的目標(biāo)是提高安全性,,但它也不能免受風(fēng)險的影響,。Gartner認(rèn)為零信任存在如下潛在安全風(fēng)險:

  信任代理是潛在的故障點(diǎn),可能成為攻擊的目標(biāo),;

  本地計算機(jī)設(shè)備和應(yīng)用系統(tǒng)也會受到攻擊,;

  用戶賬戶仍然可能被泄露;

  零信任管理員帳戶及權(quán)限或成為重點(diǎn)攻擊目標(biāo),。

  如何應(yīng)對零信任挑戰(zhàn),?

  構(gòu)建零信任安全并不容易,但它已成為安全技術(shù)未來發(fā)展的主流方向之一,。對于許多企業(yè)來說,,零信任的建設(shè)需要全面改變架構(gòu)、流程和安全意識,這不是一蹴而就的改變,,而是一個循序漸進(jìn)的過程,。企業(yè)在建立高效、安全的零信任體系時,,需要做好以下準(zhǔn)備,。

  1、充分進(jìn)行零信任測試

  在將零信任方案投入生產(chǎn)環(huán)境之前,,需要對其進(jìn)行充分的測試和安全評估,。這不僅可以為用戶使用這些類型的系統(tǒng)提供經(jīng)驗(yàn),還可以幫助管理員以及安全團(tuán)隊掌握響應(yīng)事件和處理安全問題的經(jīng)驗(yàn),,以改進(jìn)未來的實(shí)施,。

  2、提前考慮業(yè)務(wù)需求和用戶體驗(yàn)

  有效實(shí)施零信任模式需從業(yè)務(wù)需求入手,。詢問要保護(hù)什么資產(chǎn),、為何保護(hù),來確定哪些方面采用零信任技術(shù)能更有效提高安全能力,,這最終將支持企業(yè)的零信任戰(zhàn)略,。

  安全和用戶體驗(yàn)常常相沖突,但是不一定非得這樣,。在敲定零信任安全流程,、制定策略和明確需求之前,考慮用戶活動范圍變化和體驗(yàn),。推出零信任新模式后,,要考慮如何傳達(dá)體驗(yàn)方面的優(yōu)勢(比如無密碼單點(diǎn)登錄),,而不是一味關(guān)注安全方面的優(yōu)勢,。

  3、合理規(guī)劃建設(shè)預(yù)期

  大多數(shù)供應(yīng)商都聲稱可提供完整的零信任安全解決方案,,但事實(shí)上沒有哪款產(chǎn)品能做到,。零信任是一種理念,企業(yè)需要明確驗(yàn)證身份,、位置,、設(shè)備運(yùn)行狀況、服務(wù)及/或工作負(fù)載,,旨在出現(xiàn)違規(guī)行為時盡量減小影響,、劃分訪問范圍。成功的零信任安全項(xiàng)目大都從身份管理,、多因子身份驗(yàn)證和最低權(quán)限訪問等角度入手,,逐步建設(shè)完善。

  4、建立零信任文化

  如果使用零信任安全以后,,企業(yè)員工的安全意識卻沒有同步提升,,這項(xiàng)技術(shù)的應(yīng)用效果將難以充分發(fā)揮。將企業(yè)的安全防護(hù)與員工安全意識實(shí)現(xiàn)掛鉤,,對于提高零信任應(yīng)用效率至關(guān)重要,。公司必須注重培養(yǎng)一種倡導(dǎo)透明、信任和開放溝通的企業(yè)文化,,輔以持續(xù)培訓(xùn)和相應(yīng)技術(shù)手段,,才可以有效提升員工的安全意識,全面防御所有攻擊面,。

  5,、持續(xù)關(guān)注零信任技術(shù)的發(fā)展

  遷移到零信任需要慎重規(guī)劃,盡早定義需要保護(hù)的關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施很重要?,F(xiàn)有系統(tǒng)和零信任環(huán)境需要時間磨合才能共存,,且對于大多數(shù)企業(yè)來說,不會是一次性升級,。目前零信任技術(shù)仍在快速成長,,持續(xù)了解零信任技術(shù)和解決方案的發(fā)展對于長期保護(hù)投資很重要。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。