在快速发展的网络安全世界中,远程工作的过渡、零信任采用的挑战以及支持它的技术已成为焦点。让我们一起探索网络安全世界,并揭开这一变革之旅的真实面目。(本文部为外国文章翻译,但是观点均为笔者自己提出!!)
疫情期间利用远程工作无疑是商业界的必然选择。但围绕这一转变,零信任开始了崛起?通过疫情这个"加速器",大多数组织已经开始加速推进变革和数字化转型之旅。这种模式在依赖于公有云服务和远程工作这两方面尤为明显。传统的安全边界概念已经变得越来越虚幻,未来商业公司大规模上云和远程办公,已经不再遥远了。
这对于许多公司来说,上云和远程办公代表着工作方式的重大改变,会给技术人员带来不小的压力。并且这种转变还使得人员和数据进一步远离控制中心,引发了人们对安全以及个人隐私安全、数据安全等潜在安全风险的担忧。
采用零信任安全模型是增强网络安全的大胆一步,但也带来了许多挑战。在没有全面了解数字资产、现有基础设施和数据流的情况下仓促进行重大技术变革可能会是一个严重的错误。来自不同时代的遗留系统和流程构成了重大障碍,因此必须根据NIST风险管理框架来规划实施阶段。然而,主要的挑战是确保人们理解零信任的本质。NIST SP 800-207将其定义为“假设攻击者存在于环境中,对待企业拥有的环境与非企业拥有的环境没有区别”的模型。这需要持续的风险分析和保护措施来减轻这些风险。
补充(NIST风险管理框架):美国国家标准技术研究院(NIST)是一个非监管机构,旨在通过推进测量科学、标准和技术来促进创新。NIST网络安全框架(NIST CSF)由标准、指南和最佳实践组成,可帮助组织改善网络安全风险管理附上参考链接。
“零信任涉及信息安全的三个关键方面:人员、流程和技术,”Gary Hibberd 说。实施零信任通常涉及对现有安全基础设施的更改,包括对身份和访问管理 (IAM) 解决方案、云安全态势管理 (CSPM) 解决方案和网络分段工具的投资。业务流程还可能影响人员访问数据和应用程序的方式。
克服这些挑战的关键在于清晰度。为此,您必须定义零信任对您的组织意味着什么,并在高层领导的支持和支持下建立一个明确的项目。这一清晰的愿景应该传达给员工,并附上一个作为概念证明的测试项目,然后可以在整个组织中扩展。
需要深思熟虑的方法CACI 国际网络安全工程师兼马里兰大学兼职讲师Hunter Sekara强调了深思熟虑地实现零信任的重要性。了解零信任如何与组织的使命和业务流程保持一致至关重要。最小特权和完全调解等基本安全原则已经存在了数十年,任何新方法都应根据这些原则进行评估。
在投入大量资源之前,组织应该解决“如何、什么、为什么和何时”的问题。零信任与现有安全措施有何不同?它给组织带来什么好处?如果特定的安全控制措施尚未到位,为什么不呢?最后,组织何时达到适合正确实施零信任的成熟度?
实施零信任安全模型需要正确的技术和指导原则的思维方式。为了做出明智的决策,业务影响分析、风险评估和差距分析等技术可以指导公司了解零信任支出的必要性和时机。采用零信任安全模型并非没有挑战,但通过仔细的规划、清晰的沟通和深思熟虑的方法,可以克服这些障碍,最终为公司带来更强大、更有弹性的网络安全态势。
成功的零信任架构的基础取决于包含策略引擎、策略管理员和策略执行点等关键组件的技术。它涉及将所有数据源和计算服务重新定义为资源,并保护所有通信的安全,无论网络位置如何。
在大型且复杂的组织中,这可能需要多重技术来实现。重要的是要记住,“零信任并不是一个被贴上这样标签的单一产品,而是战略性地利用技术堆栈来建立增强身份治理、微分段和软件定义边界的基本构建块”。
零信任的动态安全流程方面同样重要。安全流程必须不断发展以拥抱更加动态的操作状态,并坚持“永不信任,始终验证”的原则。应强调安全操作对防止数据泄露的重要性。随着企业资源不再局限于企业拥有的基础设施和网络设备,每个资产的安全状况必须在策略执行点提出请求时进行评估。
零信任需要保证怀疑的态度,即成功的身份验证并不等于完全信任。因此,用户行为异常检测 (UBAD) 技术近年来已成为一项宝贵的资产。虽然多重身份验证通常用于用户访问,但持续的用户行为监控同样重要。恶意的员工和普通的行为都可能利用经过身份验证的访问,这凸显了持续监控以检测异常行为的必要性。
众所周知,在支持零信任的技术中,身份和访问管理 (IAM) 解决方案发挥着关键作用。IAM 使组织能够管理和控制谁有权访问特定资源以及在什么条件下访问。这种级别的控制在零信任环境中至关重要,即使用户已经位于网络内部。此外,数据丢失防护 (DLP) 工具对于防止敏感数据未经授权的泄露至关重要。
当我们结束对塑造零信任格局的挑战、技术和原则的探索时,有一件事是明确的:网络安全之旅仍在继续。借助正确的工具、思维方式和适应性流程,公司可以应对这些挑战,并在不断变化的数字世界中建立弹性防御。
译者参考了原文发现,零信任架构是未来可能实现的安全制度,但在实施过程中存在挑战。确保数据安全、更新架构、对新威胁敏感性至关重要。我认为在零信任实施中,只有综合考虑设备、身份和数据的安全性,才能构建一个真正强大的零信任架构,应对不断变化的安全威胁。