《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 零信任不能只是“看上去很美”

零信任不能只是“看上去很美”

2022-11-11
來源:安全牛
關(guān)鍵詞: 零信任

  隨著美國(guó)國(guó)防部和聯(lián)邦政府將零信任技術(shù)列為關(guān)鍵性的新一代安全體系計(jì)劃,,其作為無邊界化趨勢(shì)下的新安全理念,,已經(jīng)成為各行業(yè)普遍關(guān)注并寄予厚望的焦點(diǎn)技術(shù),。但是,由于企業(yè)組織長(zhǎng)期圍繞傳統(tǒng)的安全技術(shù)和方法制定并實(shí)施網(wǎng)絡(luò)安全計(jì)劃,,因此在轉(zhuǎn)向采用零信任安全的過程中,,將面臨很多挑戰(zhàn)和困難。

  零信任建設(shè)充滿挑戰(zhàn)

  如果我們將現(xiàn)代的零信任方法與傳統(tǒng)的傳統(tǒng)安全方法進(jìn)行對(duì)比,,就可以理解為什么美國(guó)國(guó)家安全局(NSA)、國(guó)防部(DoD),、國(guó)防工業(yè)基地(DIB)和拜登政府的《網(wǎng)絡(luò)安全行政令》都急于要求采用零信任架構(gòu)(ZTA),。傳統(tǒng)安全策略圍繞較傳統(tǒng)的“內(nèi)部信任”方法而構(gòu)建,一旦進(jìn)入可信區(qū)域,,應(yīng)用程序和系統(tǒng)就可以隨意通信,,這讓攻擊者比較容易下手。

  零信任安全架構(gòu)旨在解決以上這些問題,。在零信任環(huán)境中,,每個(gè)連接和所有訪問都有明確的定義、授權(quán)和約束,。當(dāng)服務(wù)(如系統(tǒng),、應(yīng)用程序,、容器等)需要與另一個(gè)服務(wù)連接時(shí),該連接必須使用有效的身份驗(yàn)證方法,,通過某種授權(quán)級(jí)別,。在訪問者證明自己可信任之前,“零信任”將是一種默認(rèn)的安全狀態(tài),。

  作為一種方法和架構(gòu)概念,,零信任的作用和價(jià)值不難理解。但零信任能否成為加強(qiáng)組織安全防護(hù)能力的最佳實(shí)踐,,還有待進(jìn)一步的觀察和驗(yàn)證,。零信任不是一種單一的技術(shù)或產(chǎn)品,而是一套現(xiàn)代安全策略原則,。對(duì)企業(yè)來說,,零信任是安全理念戰(zhàn)略的終極目標(biāo),不可能一蹴而就,。零信任環(huán)境建設(shè)將是一個(gè)充滿挑戰(zhàn)的持續(xù)過程,。

  企業(yè)在開展零信任安全建設(shè)時(shí),不能把一切推倒重來,,這樣成本會(huì)很高,,用戶體驗(yàn)也會(huì)有問題。很多零信任解決方案需要用戶對(duì)應(yīng)用環(huán)節(jié)進(jìn)行改造,,但是一些老舊應(yīng)用改造空間小,,因此系統(tǒng)能否順利完成升級(jí)并不確定。

  零信任安全建設(shè)還會(huì)改變用戶的使用習(xí)慣,。對(duì)企業(yè)來說,,建設(shè)零信任安全環(huán)境后,原有的一些工作流程會(huì)發(fā)生改變,。

  此外,,很多企業(yè)現(xiàn)有的安全環(huán)境并不是圍繞零信任原則而設(shè)計(jì)、構(gòu)建和部署的,,開發(fā)團(tuán)隊(duì)常常以“完全信任”模式構(gòu)建應(yīng)用程序和服務(wù)環(huán)境,,幾乎沒有實(shí)施訪問限制或安全控制。只在構(gòu)建應(yīng)用程序和云環(huán)境之后,,安全和DevOps團(tuán)隊(duì)才竭力對(duì)IT系統(tǒng)環(huán)境實(shí)施安全控制和訪問限制,。隨著云計(jì)算應(yīng)用越來越復(fù)雜,安全控制和執(zhí)行的復(fù)雜性同樣隨之加大,。如果某些控制或配置缺失或不準(zhǔn)確,,環(huán)境可能很容易受到攻擊。據(jù)Verizon的《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,,配置錯(cuò)誤是數(shù)據(jù)泄露的首要來源,。

  自動(dòng)化是實(shí)現(xiàn)零信任的前提

  如果云基礎(chǔ)設(shè)施環(huán)境是使用自動(dòng)化預(yù)構(gòu)建,、預(yù)配置和標(biāo)準(zhǔn)化的,那么任何規(guī)模的企業(yè)或組織都可以獲得成本合理的現(xiàn)代零信任架構(gòu),。開發(fā)人員現(xiàn)在可以一開始就在遵循零信任原則的基礎(chǔ)上構(gòu)建云應(yīng)用程序,。這意味著訪問權(quán)限成為DevOps流程一個(gè)不可或缺的組成部分,也成為自動(dòng)化配置管理實(shí)踐的一個(gè)關(guān)鍵部分,。新應(yīng)用程序添加到環(huán)境中后,,開發(fā)人員與安全從業(yè)人員和DevSecOps團(tuán)隊(duì)更加順暢無阻地合作,共同配置訪問權(quán)限,、授權(quán),、日志及關(guān)鍵基礎(chǔ)架構(gòu)的其他組件。

  在零信任環(huán)境中,,由于需要對(duì)用戶身份進(jìn)行多次,、持續(xù)的請(qǐng)求和驗(yàn)證容易造成不好的用戶體驗(yàn),因此安全專家將其視為通過機(jī)器學(xué)習(xí)實(shí)現(xiàn)自動(dòng)化的機(jī)會(huì),。例如,,Gartner建議采用一種被稱為“持續(xù)適應(yīng)性信任”的分析方法CAT,可以使用上下文數(shù)據(jù)(例如設(shè)備身份,、網(wǎng)絡(luò)身份和地理位置)作為一種數(shù)字現(xiàn)實(shí)檢查來幫助驗(yàn)證用戶身份,。

  事實(shí)上,網(wǎng)絡(luò)中充滿了數(shù)據(jù),,安全專家的人工分析太困難且無效,,其中很多數(shù)據(jù)是可以被人工智能實(shí)時(shí)篩選,自動(dòng)化地實(shí)現(xiàn)零信任環(huán)境的安全性,。零信任廠商需要為企業(yè)組織提供自動(dòng)化工具,,幫助他們構(gòu)建更強(qiáng)大的零信任環(huán)境,保障零信任環(huán)境的防御系統(tǒng)能夠貫穿于IT系統(tǒng)的整個(gè)架構(gòu)中,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]