虛假情報數量增加,企業安全運營疲勞;
遠程辦公常態化,殘存安全邊界徹底消失;
數字化轉型導致攻擊面不斷增長;
數據泄露規模不斷增長,違規成本提升;
年輕黑客不講武德,傳統安全方案直呼“大E了,沒有閃”。
毫無疑問,以上這些因素都在推動零信任成為當下最火爆的企業網絡細分市場之一。
隨著公有云服務的廣泛采用和移動工作者規模的增長,基于邊界的安全模型已經過時。組織的應用程序和數據可能同時存在于傳統防火墻內部和外部,而邊界控件幾乎無法阻止攻擊者獲得初始訪問權限后在網絡上橫向活動,此時安全和IT團隊需要的是向“無邊界”安全的轉變,這就是零信任。
當企業園區網絡轉移到分布式遠程辦公模型,并面對物聯網、5G等新的不斷擴大的威脅矢量時,企業必須迅速采用“從不信任、始終驗證”的零信任安全思想,以限制攻擊并防止其橫向移動。然而盡管企業對零信任頗為關注,將其視為網絡安全策略的必要組成部分,但仍缺乏廣泛采用的辦法,實現零信任模型可能需要企業數年的努力,并調動企業各個方面進行協作。
實現零信任安全性的十條建議
千里之行,始于足下。如果你決心部署零信任模型,或者僅僅在考慮階段,可以參考以下十條建議,即便“條條大道通零信任”,這些普適建議仍然能幫您聚焦重點問題,少走彎路和邪路。
建議1:圍繞身份進行重新調整
身份是零信任的最佳起點。用戶可以擁有多個設備,并從各種網絡和應用訪問企業資源,而身份就是所有訪問請求的共同特性。無論該請求是來自公共Wi-Fi網絡上的個人設備還是來自網絡邊界內的企業設備,使用身份作為控制平面可以讓公司在全面審查用戶、設備和其他因素之前將每個訪問請求都視為不受信任的請求。
目前很多組織使用微分段作為實現零信任的辦法,它可用于減少攻擊面和防護本地和傳統應用程序環境中的漏洞。然而,云環境中,企業資產之間的網絡通常不由IT擁有或管理,該方法將會大打折扣。跨專業孤島的團隊應圍繞基于身份的保護進行協調,在資產與其潛在威脅之間創建完善的訪問網關,為零信任模型奠定基礎。
建議2:實施條件訪問控制
黑客往往是在入侵身份憑據后,使用憑據訪問系統并在網絡中橫向活動。因此,憑據的可信度不能僅從特定用戶或其設備位于公司網絡內部還是外部來推斷。這要求我們在進行徹底審查之前,應采用“假設有漏洞”的理念,不要信任任何請求。對于零信任而言,訪問控制決策應該是動態的,并基于對每次跨多維度資源請求的相關風險評估和背景理解有條件地授予,這種針對用戶和設備的合適條件確定訪問權限的條件訪問方法,綜合考慮了用戶身份和訪問權限、設備運行狀況、應用程序和網絡安全以及所訪問數據的敏感度,可防止黑客使用被盜憑據在網絡中橫向活動。
建議3:增加憑據強度
弱密碼會削弱身份系統的安全性,黑客可以輕松通過諸如密碼噴射或憑據填充攻擊等方式破壞你的網絡。而多重身份驗證可以針對關鍵應用和數據的訪問提供額外的用戶驗證層,將其納入條件訪問限制有助于實現更穩妥的用戶驗證,并限制黑客濫用被盜憑據的能力。
建議4:規劃雙邊界戰略
為了防止業務中斷和重新引入舊風險,應在維持現有基于網絡的保護的同時,向環境中添加新的基于身份的控件。在零信任環境中,必須將應用程序視為云應用程序或傳統程序。其中云原生應用程序可以支持基于身份的控件,并允許條件訪問規則相對輕松地進行疊加。
另一類別包括傳統環境中設計為位于網絡防火墻之后的應用程序。這些應用程序需要通過現代化才能支持基于身份的條件訪問。若要大規模實現現代化,需要通過安全的身份驗證網關或應用程序代理啟用訪問,省去VPN連接步驟,進而降低風險。
建議5:集成情報和行為分析
支持云應用程序中基于身份的訪問控制并不是加速云遷移的唯一原因。云還能夠生成更豐富的遙測數據,以實現更明智的訪問控制決策。例如,這種遙測數據可以更輕松地推斷異常用戶或實體行為來識別威脅,從而增強條件訪問控制。
做出明智訪問控制決策的能力取決于你集成到這些決策中的信號質量、數量和多樣性。例如,集成威脅情報源(如僵尸程序或惡意軟件的IP地址)將迫使攻擊者不斷獲取新資源;集成有關登錄的詳細信息(時間、位置等)并查看其是否與該用戶的日常行為相符,將使攻擊者更難模仿用戶行為,同時最大限度地減少用戶不便。
建議6:減少攻擊面
為了增強身份基礎結構的安全性,必須確保將攻擊面降至最低,企業可以實施特權身份管理最大程度地降低入侵帳戶以管理員或其他特權角色進行使用的可能性;也可以使用不支持條件訪問或多重身份驗證的舊式身份驗證協議阻止應用。此外,還可以限制身份驗證訪問入口點,控制用戶訪問應用和資源的方式。
建議7:提高安全意識
你的身份和終結點基礎結構可以生成大量安全事件和警報,甚至是一些可以活動和模式。這些可疑的活動和模式可指示潛在網絡入侵和事件,如憑據泄露、IP地址錯誤以及來自受感染設備的訪問。企業可以使用安全信息和事件管理(SIEM) 系統聚合和關聯數據,以更好地檢測可疑活動和模式。
SIEM系統可用于審核用戶活動、記錄法規要求的合規情況并幫助進行取證分析。它還可以改進對最小特權訪問的監控,并確保用戶只能訪問他們真正需要的資源。
建議8:實施最終用戶自助功能
與許多其他安全計劃相比,用戶對零信任的抵觸可能要小得多。零信任使安全組織能夠接納現代生產力場景(如移動設備、BYOD和SaaS應用程序)并確保其安全,同時在不損害安全性的前提下維持用戶的滿意度。
IT團隊可以通過授權用戶執行某些安全任務(如:自助式密碼重置)來減少摩擦,允許用戶在無管理員參與的情況下重置或解鎖賬戶密碼,同時監控濫用或誤用情況,既可以確保安全性又能提高工作效率。同樣,也可以實施自助群組管理,允許所有者創建和管理群組。
建議9:不要過度承諾
零信任并非是像實施多重身份驗證那樣的單一“大爆炸式”舉措。實際上,它是一種長期策略的最終階段,其新一代安全控件的構建完全不同于傳統的基于網絡的訪問模型。這一愿景需要在很長一段時間內通過陸續實施一系列小項目來實現。
在此過程中,適當制定和管理預期目標非常重要。在項目生命周期中,應尋求關鍵利益相關者的支持并制定與他們進行有效溝通的計劃。應做好準備,采取措施克服習慣于以迥異方式行事的群體帶來的文化抵觸和其他挑戰。
建議10:全程展現價值
為零信任舉措構建長期支持的最有效方式之一,是在每一項投資中都展現出增值價值。在IDG的安全調查中,超過一半的受訪者 (51%) 表示零信任訪問模型將有助于提高保護客戶數據的能力,46%的受訪者則表示它將有助于實現更卓越、更安全的最終用戶體驗。
集成到決策中的信號質量、數量和多樣性決定了你做出明智訪問控制決策的能力。例如,集成威脅情報源(如僵尸程序或惡意軟件的IP地址)將迫使攻擊者不斷獲取新資源;集成有關登錄的詳細信息(時間、位置等)并查看其是否與該用戶的日常行為相符,將使攻擊者更難模仿用戶行為,同時最大限度地減少用戶不便。
擁抱零信任理念,重構安全體系架構
雖然零信任模型并不容易實現,但它卻是數字企業長期現代化目標的關鍵要素。人們無法預測哪一天會出現哪些新的漏洞,或者攻擊者會以何種方式進入自己的環境。所以絕對不能假定自己使用的任何特定用戶或設備、應用或網絡絕對安全,確保安全性的唯一合理方法是不信任任何人并驗證一切。