虛假情報(bào)數(shù)量增加,企業(yè)安全運(yùn)營(yíng)疲勞;
遠(yuǎn)程辦公常態(tài)化,殘存安全邊界徹底消失;
數(shù)字化轉(zhuǎn)型導(dǎo)致攻擊面不斷增長(zhǎng);
數(shù)據(jù)泄露規(guī)模不斷增長(zhǎng),違規(guī)成本提升;
年輕黑客不講武德,傳統(tǒng)安全方案直呼“大E了,沒(méi)有閃”。
毫無(wú)疑問(wèn),以上這些因素都在推動(dòng)零信任成為當(dāng)下最火爆的企業(yè)網(wǎng)絡(luò)細(xì)分市場(chǎng)之一。
隨著公有云服務(wù)的廣泛采用和移動(dòng)工作者規(guī)模的增長(zhǎng),基于邊界的安全模型已經(jīng)過(guò)時(shí)。組織的應(yīng)用程序和數(shù)據(jù)可能同時(shí)存在于傳統(tǒng)防火墻內(nèi)部和外部,而邊界控件幾乎無(wú)法阻止攻擊者獲得初始訪問(wèn)權(quán)限后在網(wǎng)絡(luò)上橫向活動(dòng),此時(shí)安全和IT團(tuán)隊(duì)需要的是向“無(wú)邊界”安全的轉(zhuǎn)變,這就是零信任。
當(dāng)企業(yè)園區(qū)網(wǎng)絡(luò)轉(zhuǎn)移到分布式遠(yuǎn)程辦公模型,并面對(duì)物聯(lián)網(wǎng)、5G等新的不斷擴(kuò)大的威脅矢量時(shí),企業(yè)必須迅速采用“從不信任、始終驗(yàn)證”的零信任安全思想,以限制攻擊并防止其橫向移動(dòng)。然而盡管企業(yè)對(duì)零信任頗為關(guān)注,將其視為網(wǎng)絡(luò)安全策略的必要組成部分,但仍缺乏廣泛采用的辦法,實(shí)現(xiàn)零信任模型可能需要企業(yè)數(shù)年的努力,并調(diào)動(dòng)企業(yè)各個(gè)方面進(jìn)行協(xié)作。
實(shí)現(xiàn)零信任安全性的十條建議
千里之行,始于足下。如果你決心部署零信任模型,或者僅僅在考慮階段,可以參考以下十條建議,即便“條條大道通零信任”,這些普適建議仍然能幫您聚焦重點(diǎn)問(wèn)題,少走彎路和邪路。
建議1:圍繞身份進(jìn)行重新調(diào)整
身份是零信任的最佳起點(diǎn)。用戶可以擁有多個(gè)設(shè)備,并從各種網(wǎng)絡(luò)和應(yīng)用訪問(wèn)企業(yè)資源,而身份就是所有訪問(wèn)請(qǐng)求的共同特性。無(wú)論該請(qǐng)求是來(lái)自公共Wi-Fi網(wǎng)絡(luò)上的個(gè)人設(shè)備還是來(lái)自網(wǎng)絡(luò)邊界內(nèi)的企業(yè)設(shè)備,使用身份作為控制平面可以讓公司在全面審查用戶、設(shè)備和其他因素之前將每個(gè)訪問(wèn)請(qǐng)求都視為不受信任的請(qǐng)求。
目前很多組織使用微分段作為實(shí)現(xiàn)零信任的辦法,它可用于減少攻擊面和防護(hù)本地和傳統(tǒng)應(yīng)用程序環(huán)境中的漏洞。然而,云環(huán)境中,企業(yè)資產(chǎn)之間的網(wǎng)絡(luò)通常不由IT擁有或管理,該方法將會(huì)大打折扣??鐚I(yè)孤島的團(tuán)隊(duì)?wèi)?yīng)圍繞基于身份的保護(hù)進(jìn)行協(xié)調(diào),在資產(chǎn)與其潛在威脅之間創(chuàng)建完善的訪問(wèn)網(wǎng)關(guān),為零信任模型奠定基礎(chǔ)。
建議2:實(shí)施條件訪問(wèn)控制
黑客往往是在入侵身份憑據(jù)后,使用憑據(jù)訪問(wèn)系統(tǒng)并在網(wǎng)絡(luò)中橫向活動(dòng)。因此,憑據(jù)的可信度不能僅從特定用戶或其設(shè)備位于公司網(wǎng)絡(luò)內(nèi)部還是外部來(lái)推斷。這要求我們?cè)谶M(jìn)行徹底審查之前,應(yīng)采用“假設(shè)有漏洞”的理念,不要信任任何請(qǐng)求。對(duì)于零信任而言,訪問(wèn)控制決策應(yīng)該是動(dòng)態(tài)的,并基于對(duì)每次跨多維度資源請(qǐng)求的相關(guān)風(fēng)險(xiǎn)評(píng)估和背景理解有條件地授予,這種針對(duì)用戶和設(shè)備的合適條件確定訪問(wèn)權(quán)限的條件訪問(wèn)方法,綜合考慮了用戶身份和訪問(wèn)權(quán)限、設(shè)備運(yùn)行狀況、應(yīng)用程序和網(wǎng)絡(luò)安全以及所訪問(wèn)數(shù)據(jù)的敏感度,可防止黑客使用被盜憑據(jù)在網(wǎng)絡(luò)中橫向活動(dòng)。
建議3:增加憑據(jù)強(qiáng)度
弱密碼會(huì)削弱身份系統(tǒng)的安全性,黑客可以輕松通過(guò)諸如密碼噴射或憑據(jù)填充攻擊等方式破壞你的網(wǎng)絡(luò)。而多重身份驗(yàn)證可以針對(duì)關(guān)鍵應(yīng)用和數(shù)據(jù)的訪問(wèn)提供額外的用戶驗(yàn)證層,將其納入條件訪問(wèn)限制有助于實(shí)現(xiàn)更穩(wěn)妥的用戶驗(yàn)證,并限制黑客濫用被盜憑據(jù)的能力。
建議4:規(guī)劃雙邊界戰(zhàn)略
為了防止業(yè)務(wù)中斷和重新引入舊風(fēng)險(xiǎn),應(yīng)在維持現(xiàn)有基于網(wǎng)絡(luò)的保護(hù)的同時(shí),向環(huán)境中添加新的基于身份的控件。在零信任環(huán)境中,必須將應(yīng)用程序視為云應(yīng)用程序或傳統(tǒng)程序。其中云原生應(yīng)用程序可以支持基于身份的控件,并允許條件訪問(wèn)規(guī)則相對(duì)輕松地進(jìn)行疊加。
另一類別包括傳統(tǒng)環(huán)境中設(shè)計(jì)為位于網(wǎng)絡(luò)防火墻之后的應(yīng)用程序。這些應(yīng)用程序需要通過(guò)現(xiàn)代化才能支持基于身份的條件訪問(wèn)。若要大規(guī)模實(shí)現(xiàn)現(xiàn)代化,需要通過(guò)安全的身份驗(yàn)證網(wǎng)關(guān)或應(yīng)用程序代理啟用訪問(wèn),省去VPN連接步驟,進(jìn)而降低風(fēng)險(xiǎn)。
建議5:集成情報(bào)和行為分析
支持云應(yīng)用程序中基于身份的訪問(wèn)控制并不是加速云遷移的唯一原因。云還能夠生成更豐富的遙測(cè)數(shù)據(jù),以實(shí)現(xiàn)更明智的訪問(wèn)控制決策。例如,這種遙測(cè)數(shù)據(jù)可以更輕松地推斷異常用戶或?qū)嶓w行為來(lái)識(shí)別威脅,從而增強(qiáng)條件訪問(wèn)控制。
做出明智訪問(wèn)控制決策的能力取決于你集成到這些決策中的信號(hào)質(zhì)量、數(shù)量和多樣性。例如,集成威脅情報(bào)源(如僵尸程序或惡意軟件的IP地址)將迫使攻擊者不斷獲取新資源;集成有關(guān)登錄的詳細(xì)信息(時(shí)間、位置等)并查看其是否與該用戶的日常行為相符,將使攻擊者更難模仿用戶行為,同時(shí)最大限度地減少用戶不便。
建議6:減少攻擊面
為了增強(qiáng)身份基礎(chǔ)結(jié)構(gòu)的安全性,必須確保將攻擊面降至最低,企業(yè)可以實(shí)施特權(quán)身份管理最大程度地降低入侵帳戶以管理員或其他特權(quán)角色進(jìn)行使用的可能性;也可以使用不支持條件訪問(wèn)或多重身份驗(yàn)證的舊式身份驗(yàn)證協(xié)議阻止應(yīng)用。此外,還可以限制身份驗(yàn)證訪問(wèn)入口點(diǎn),控制用戶訪問(wèn)應(yīng)用和資源的方式。
建議7:提高安全意識(shí)
你的身份和終結(jié)點(diǎn)基礎(chǔ)結(jié)構(gòu)可以生成大量安全事件和警報(bào),甚至是一些可以活動(dòng)和模式。這些可疑的活動(dòng)和模式可指示潛在網(wǎng)絡(luò)入侵和事件,如憑據(jù)泄露、IP地址錯(cuò)誤以及來(lái)自受感染設(shè)備的訪問(wèn)。企業(yè)可以使用安全信息和事件管理(SIEM) 系統(tǒng)聚合和關(guān)聯(lián)數(shù)據(jù),以更好地檢測(cè)可疑活動(dòng)和模式。
SIEM系統(tǒng)可用于審核用戶活動(dòng)、記錄法規(guī)要求的合規(guī)情況并幫助進(jìn)行取證分析。它還可以改進(jìn)對(duì)最小特權(quán)訪問(wèn)的監(jiān)控,并確保用戶只能訪問(wèn)他們真正需要的資源。
建議8:實(shí)施最終用戶自助功能
與許多其他安全計(jì)劃相比,用戶對(duì)零信任的抵觸可能要小得多。零信任使安全組織能夠接納現(xiàn)代生產(chǎn)力場(chǎng)景(如移動(dòng)設(shè)備、BYOD和SaaS應(yīng)用程序)并確保其安全,同時(shí)在不損害安全性的前提下維持用戶的滿意度。
IT團(tuán)隊(duì)可以通過(guò)授權(quán)用戶執(zhí)行某些安全任務(wù)(如:自助式密碼重置)來(lái)減少摩擦,允許用戶在無(wú)管理員參與的情況下重置或解鎖賬戶密碼,同時(shí)監(jiān)控濫用或誤用情況,既可以確保安全性又能提高工作效率。同樣,也可以實(shí)施自助群組管理,允許所有者創(chuàng)建和管理群組。
建議9:不要過(guò)度承諾
零信任并非是像實(shí)施多重身份驗(yàn)證那樣的單一“大爆炸式”舉措。實(shí)際上,它是一種長(zhǎng)期策略的最終階段,其新一代安全控件的構(gòu)建完全不同于傳統(tǒng)的基于網(wǎng)絡(luò)的訪問(wèn)模型。這一愿景需要在很長(zhǎng)一段時(shí)間內(nèi)通過(guò)陸續(xù)實(shí)施一系列小項(xiàng)目來(lái)實(shí)現(xiàn)。
在此過(guò)程中,適當(dāng)制定和管理預(yù)期目標(biāo)非常重要。在項(xiàng)目生命周期中,應(yīng)尋求關(guān)鍵利益相關(guān)者的支持并制定與他們進(jìn)行有效溝通的計(jì)劃。應(yīng)做好準(zhǔn)備,采取措施克服習(xí)慣于以迥異方式行事的群體帶來(lái)的文化抵觸和其他挑戰(zhàn)。
建議10:全程展現(xiàn)價(jià)值
為零信任舉措構(gòu)建長(zhǎng)期支持的最有效方式之一,是在每一項(xiàng)投資中都展現(xiàn)出增值價(jià)值。在IDG的安全調(diào)查中,超過(guò)一半的受訪者 (51%) 表示零信任訪問(wèn)模型將有助于提高保護(hù)客戶數(shù)據(jù)的能力,46%的受訪者則表示它將有助于實(shí)現(xiàn)更卓越、更安全的最終用戶體驗(yàn)。
集成到?jīng)Q策中的信號(hào)質(zhì)量、數(shù)量和多樣性決定了你做出明智訪問(wèn)控制決策的能力。例如,集成威脅情報(bào)源(如僵尸程序或惡意軟件的IP地址)將迫使攻擊者不斷獲取新資源;集成有關(guān)登錄的詳細(xì)信息(時(shí)間、位置等)并查看其是否與該用戶的日常行為相符,將使攻擊者更難模仿用戶行為,同時(shí)最大限度地減少用戶不便。
擁抱零信任理念,重構(gòu)安全體系架構(gòu)
雖然零信任模型并不容易實(shí)現(xiàn),但它卻是數(shù)字企業(yè)長(zhǎng)期現(xiàn)代化目標(biāo)的關(guān)鍵要素。人們無(wú)法預(yù)測(cè)哪一天會(huì)出現(xiàn)哪些新的漏洞,或者攻擊者會(huì)以何種方式進(jìn)入自己的環(huán)境。所以絕對(duì)不能假定自己使用的任何特定用戶或設(shè)備、應(yīng)用或網(wǎng)絡(luò)絕對(duì)安全,確保安全性的唯一合理方法是不信任任何人并驗(yàn)證一切。