零信任时代已经到来,但也带来了一些复杂的情况。
数字不言而喻:到 2022 年,超过一半的组织表示他们已经实施了零信任计划。
这个数字是 2021 年的两倍。此外,拜登总统最近命令所有民事联邦政府机构在 2024 年 9 月之前达到特定的网络安全标准,以支持零信任。
然而,零信任采用的加速掩盖了一个重要事实:当今许多组织都在努力有效地实施该框架。在云原生环境中尤其如此,其细微差别给安全组织带来了新的障碍。
以下是零信任实施过程中需要注意的一些挑战以及组织如何克服这些挑战。
定义零信任
从本质上讲,零信任意味着……零信任。安全专业人员应该自动不信任网络内部或外部的任何内容。
零信任要求所有用户和设备,无论是在组织网络内部还是外部,在被授予对网络及其应用程序和数据的访问权限之前,都必须经过身份验证、授权和持续验证安全配置。
虽然零信任并不是一项新举措,但它在过去两年中越来越受欢迎,这主要是由于 COVID-19 大流行的影响。
许多组织加速了数字化转型计划,并采用了随时随地工作的政策来应对 COVID-19,随着接入点和资源变得更加复杂以及攻击面的扩大,对零信任等更强大的安全框架的需求日益增长。
当零信任变得困难时
零信任是一个复杂的安全框架,在实施过程中面临几个关键障碍。其中之一是在 IT 基础设施中使用旧技术。
2022 年,《麻省理工学院技术评论》要求全球商业领袖分享他们在采用零信任方面面临的最大挑战——46% 的受访者表示,最大的挑战是更换旧系统和/或将模型集成到他们的遗留基础设施中,这表明需要在不牺牲安全措施的情况下使零信任易于导航。
此外,一项调查还强调了其他障碍,指出对于近 70% 的安全专业人员来说,采用零信任的最大障碍是实施过程的复杂性。
成本仍然是一个重大挑战,调查中 60% 的受访者表示,有限的预算阻碍了他们的零信任努力。
对于任何实施过新系统的人来说,这些成本和实施挑战都应该感到熟悉。
然而,零信任代表了一种新的信息安全范式;改变其复杂性绝非易事。
避免零信任实施陷阱
有效实施零信任框架有四个原则:
首先,你必须了解你的环境。网络安全和基础设施安全局 (CISA) 创建了一个零信任成熟度模型,其中包括任何实施的五个支柱:身份、设备、网络、应用程序和数据。
简而言之,如果不详细了解环境的全部范围,就无法开始零信任实施。这意味着根据潜在风险对资产(软件、硬件、数据)进行分类,并实施程序来识别、管理和监控访问它们的每个用户、设备和应用程序及其使用模式。
其次,构建业务案例。确定什么是利害攸关的;PII 数据、声誉、收入损失和/或更多。
与任何其他新技术实施一样,零信任需要人力和财力资源。为了赢得最高管理层的支持,安全主管必须超越降低风险的范围。相反,我建议他们强调该框架的许多其他好处,包括提高最终用户的生产力和安全性,以及通过更简化的安全框架降低成本。
第三,逐步实施零信任至关重要。首先运行测试试验,以确保部署能够提供高效且安全的用户体验,并增强事件响应能力。
通过将初始实施工作重点放在应用程序或团队上,您可以获得更深入的见解和学习,并快速迭代版本和更新。
第四,仔细选择工具。为了管理零信任架构,组织必须优先考虑在整个企业中提供可见性、分析应用和自动化的工具和流程。这可以通过利用统一平台轻松实现,该平台将整个零信任架构与单个数据模型连接起来。
通过这种方法,组织可以根据业务风险无缝地发现、映射、确定优先级并响应潜在威胁。不采用平台方法而是使用各种单点工具来尝试实现这一目标的组织通常缺乏平台解决方案固有的必要的凝聚力可见性,从而导致效率低下,从而破坏零信任计划。
预计到 2025 年,网络攻击每年造成的损失将达到10.5 万亿美元,零信任将继续加速采用,成为安全良好的企业的关键组成部分。
它为组织提供了强大且可扩展的安全框架,能够保护组织的远程员工及其通常跨越多个云的技术架构。
然而,组织还必须认识到,这是一个复杂的、长期的过程,必须战略性地、谨慎地实施该过程,以有效保护企业的安全。