对企业来说,使用零信任似乎是一项艰巨的任务,但其努力将获得更多的回报。
公共会计、咨询和技术商Crowe公司网络安全管理顾问Michael Salihoglu指出原来的安全模式就像一座堡垒,有围墙、护城河和吊桥。
他说:人们可以在堡垒里做任何他们想做的事情。他们有坚硬的外壳和弱点。一旦被网络攻击者打破,就很难抗拒。
他指出,零信任是安全的重大转变。
他说:企业的安全并不总是这样的堡垒,但每个应用程序和数据存储设施都是堡垒。每个人和一切都应该尽可能地通过身份验证,我们需要消除内部网络的固有信任。
事实上,去年春天,美国总统拜登将零信任描述为改善美国网络安全的行政命令的基石。
新的优先事项
毫不奇怪,在iSMG在对150位网络安全领导人的调查中,许多受访者表示,零信任对降低网络安全风险至关重要。46%的受访者表示,这是他们2022年最重要的安全实践——领先于任何其他网络安全项目或战略。
根据研究机构Forrester公司本月早些时候发布的300多家大型企业调查报告中,今年78%的安全战略高管计划增加对零信任的投资。
过去几个月发布的关于调查表明,零信任是企业的首要任务。然而,在实施方面,许多企业刚刚开始朝着这个方向发展。
根据去年12月对全球3600多名高管的调查,52%的受访者表示,他们已经开始或计划实施零信任,但只有11%的受访者表示,他们开始获得零信任的好处,只有28%的受访者表示,他们已经大规模实施了零信任。
Forrester该公司的调查显示,只有6%的受访者完全部署零信任,30%的受访者表示将部署零信任。此外,63%的受访者表示,他们的零信任项目目目前正处于评估、战略或试点阶段。
如何实施零信任
国家标准与技术研究所(NIST)目前,国家网络安全卓越中心正在制定一套操作指南和示例方法,以便在最常见的业务案例中更容易实现零信任和基本信任NIST2020年夏季发布了零信任架构参考指南。
去年秋天,美国网络安全和基础设施安全局(CISA)它发布了零信任成熟度模型,这是企业和机构过渡到零信任架构的路线图。
与此同时,就在上个月,美国公共和预算管理办公室(OMB)为了促进零信任架构,任何组织(不仅是政府机构和承包商)都可以使用联邦战略作为模型。
网络安全和基础设施安全局(CISA)美国公共和预算管理办公室(OMB)它们都专注于保护身份、设备、网络、应用程序设备、网络、应用程序和数据。
以下是企业正确实施此操作的一些最佳实践。
(1)从明确的业务目标开始
从零信任开始似乎是一项艰巨的任务。
Banyan Security公司首席安全官Den Jones说:你不能买零信任产品,期待奇迹一夜之间发生。Jones是Adobe公司和Cisco该公司的前高管也是零信任运动的先驱之一。
他指出,这种方法有助于关注有形的业务成果。
Jones首席信息安全官应专注于改善员工经验或与违规行为有关的投资。
另一个建议是逐步部署应用程序或用户的零信任架构。这可以逐渐简化整个过程,因为没有必要暂停和更换现有的工作。可以专注于企业的特定部门或团队,而不是一次性完成整个业务。
(2)通过了解保护面,优先考虑业务风险
如今,许多安全从业者从潜在的攻击开始。企业的边界在哪里?网络攻击者如何尝试突破?零信任扭转了局面。
Appgate Federal集团首席产品官Jason Garbis首先,评估最高价值和最高风险的用户和资产-应用程序和数据。
他表示,这些是开始应用零信任原则的最佳场所。他说,“即使是很小的变化也会产生影响。”
(3)仔细分析瘫痪
转向零信任是一项艰巨的任务,数据中心管理不应该试图一次完成一切。
Optiv Security公司工程研究员Jerry Chapman零信任包括许多不同的安全控制和许多不同的技术。企业经常陷入分析瘫痪。
(4)重新调整身份
Chapman身份是可能的起点。
他说:身份是零信任安全的基础,但它不一定是完美的。但它确实必须有一些关键元素,如身份来源和基于角色的访问控制。身份来源意味着知道所有身份的来源。它不仅是用户身份,还包括云中生成的服务账户和临时身份。
(5)利用微分段构建网络
Chapman数据中心传统上非常擅长管理网络和周边环境。在构建零信任架构时,其原理是相同的,但网络和边界要小得多。
微分段是如何在数据中心创建微边界,只有预先批准的流量才能进入,他说
这类似于旧系统的白名单,除了基于策略而不是批准的名单IP地址。维护网络、防火墙和一组规则对于试图跨微段维护已经足够重了。人工工作不再能解决这个问题。
Chapman这就是为什么现代零信任网络访问解决方案使用机器学习或人工智能来了解良好的流量,并帮助企业自动创建访问策略。
一旦在学习模式下找到解决方案,就可以开始采取措施,禁止通用流量,他补充说
(6)实施政策、有条件的安全访问控制和最小权限原则
在零信任的世界里,数据中心的安全是基于身份而不是特定的个人身份。
Chapman企业必须开始考虑基于身份的安全策略。范式必须从范式开始‘会计需要访问某个应用程序’更改为‘有这些角色的用户可以从会计服务器访问这些数据。’这是一种消除所有身份和访问请求管理细节的高级模式。
在这里,人工智能再次可以帮助企业自动生成角色和访问策略。但人工智能尚未理解不断变化的业务需求。僵化的角色和策略可能会阻止用户和流程完成他们的工作。
(7)允许合理范围内的例外和政策限制范围内的例外
和任何技术一样,实现零信任有好有坏。
Chapman说,现在,我看到了Active Directory环境很差,Active Directory拥有5000个用户和50000个群组20年的应用历史。
当企业增加战略、访问权限和角色以满足业务需求,然后积累到无法管理的混乱时,也会发生同样的情况。
他说,解决办法是建立一个治理过程。
他说:零信任的前提是提供及时和足够的访问权限。有时,为了服务于企业的业务用例,它可能会面临一个混乱的过程。我对企业的问题是,这种混乱的环境会持续多久?如果解决方案正在管理中,当不再需要时,它将被删除。
此外,这种临时访问也可以依赖于策略。例如,如果有人需要访问生产服务器来解决问题,该策略可能需要提供服务票,表明服务器已经关闭,只有在打开时才允许访问。
(8)可见性是关键
在企业能够对身份、设备、网络、应用程序和数据进行零信任之前,他们需要充分了解其环境以及如何将一切与其他事物联系起来。
Forescout Technologies公司全球医疗保健副总裁公司Tamer Baker用户、设备和服务都连接到数据中心,这是一个复杂的环境,只会因为云计算服务而变得更加复杂。如果企业试图在不了解环境的情况下强制执行,可能会对安全漏洞视而不见或破坏工作流。
他说,一旦他们获得了全面的可见性,他们就可以开始了解他们需要什么信任技术和实施策略。
事实上,许多必要的技术可能已经到位,只需使用编排和策略引擎进行更新。
Baker这就是为什么从理解所有连接的业务逻辑和通信方式开始,补充说
(9)消除攻击面
在传统方法中,应用程序被发布到全球互联网上。
Zscaler ThreatLabZ公司研究团队负责人Desai这意味着他们很容易被对手发现。
然后,网络攻击者将采取一切手段和措施来破坏企业的防御机制,如暴力破解、盗窃证据或漏洞攻击。
零信任法通过隐藏源身份和混淆,他说IP避免在互联网上暴露企业资产。
Desai这意味着,当应用程序对手看不见且只能由授权用户访问时,网络攻击面就会减少。他说:它确保了在互联网上访问应用程序SaaS、公共或私有云是安全的。