零信任的四大误区

作者:aqniu 日期:2021年04月08日 阅:19,195

11年前诞生的零信任安全模型已被网络安全产业的思想领袖和企业CISO们广泛接受。而当拥有无穷预算和资源的Google通过BeyondCorp项目践行和验证了零信任框架的有效性后,零信任安全模型进入了产品化和商业化的快车道。但是今天,对于大多数企业来说,通往零信任的道路上依然布满了陷阱和误区。

11年后,很多IT和安全决策者依然难以就零信任达成战略上的共识。不同企业的IT和安全基础设施的差距、需求的差异化、零信任架构对持续改进能力和投入的要求,导致很多企业甚至难以迈出第一步。

根据2021年2月26日美国国家安全局(NSA)发布的零信任指南,零信任方法有四个关键点:

  • 协调主动的系统监控、系统管理和防御性安全运营能力;

  • 假设所有对关键资源和网络流量的请求都可能是恶意的;

  • 假设所有设备和基础架构都可能受到威胁;

  • 承认对关键资源的所有访问授权均会带来风险,并随时准备执行快速的损害评估,控制和恢复操作。

但现实是,假定所有设备、基础设施和流量都会遭遇入侵不仅在董事会上会炸锅,在SOC中也是徒劳的。不幸的是,像零信任框架这样的方法体系无法提供实用性指导,例如清晰详细的建议或后续实施步骤,这导致一些零信任采用者给后来者挖了很多大坑。

常见的零信任误区

在进一步讨论之前,我们先回顾一下零信任的六个基本组件:

身份:描述、验证和保护所有的企业账户。这包括整个云、本地和远程资产中的所有用户、服务、API和其他拥有访问权限的账户。

资产:扫描发现与企业IT环境有关的所有资产。与身份一样,企业需要描述、验证和保护任何位置的所有资产,包括:云、本地和远程。在授予资产访问权限之前,请确保安全管理已经就绪。

应用程序:将所有影子IT、影子云和(员工)自带应用程序转换为托管和受保护的应用程序。根据当前的分析和需求减少访问量。监视、控制和纠正用户权限。

数据:在整个ELT/ETL以及应用程序中,在其存储库中识别、分类和标记数据。将注意力从控制周边转移到控制数据访问。根据分类标签和内部策略对访问进行加密和控制。

基础架构:采用最小特权访问或“默认拒绝”原则,监视异常和可疑攻击并发出警报。使用自动化来阻止异常和危险行为。

网络:明确高风险或高价值数据的网络区域。通过风险和价值来划分不同的网络区域,并通过策略来限制访问。在内部网络中部署加密。确保设备和用户不因位于内部网络中而受到信任。

以下是企业在实施零信任框架或方案时,应该避免的四个常见误区:

误区1:选择一个重要的应用程序作为试验场

这是很常见的一个误区,因为从单个应用开始验证零信任的有效性似乎更容易。但困难在于您不知道这个应用与其他应用程序的互连,它的访问途径以及哪些用户需要对应用程序的访问权限。

零信任要求对每个应用程序进行细分,将它们彼此隔离。由于企业内部通常缺乏有关应用程序交互方式的知识和信息,因此从特定应用程序切入非常困难。

更好的选择是从应用程序生态系统的细分入手。然后,你可以控制对该应用程序的访问,而不必担心服务交付失败。从处理应用程序生态系统入手意味着你可以将注意力集中在用户到应用程序的交互边界上,而不必同时处理用户到应用程序、应用程序到应用程序,以及应用程序到基础结构的边界,这会让你崩溃。

误区2:专注于身份

大多数实施零信任的企业都会掉入一个陷阱,那就是零信任方案需要理解和定义企业中的每个身份。最初,这似乎很简单,但随后你会发现身份主体还包括大量服务、机器和应用程序。火上浇油的是,身份项目还必须包含权限,并且每个应用程序都有其自己的授权架构,且没有标准化。总之,仅专注于身份会让你掉入无休止的项目开发泥沼。

正确的做法是将重点放在用户账户上。我们从应用程序生态系统入手的目的是关注用户和应用程序边界。身份方面,应该从交互式登录入手,例如用户执行操作前需要访问账户。通过使用证书和循环凭证来代替通用登录,确保不可否认性。

误区3:在任何地方向任何设备提供向任何应用程序的访问权限都会导致丢掉工作

大多数董事会的高管们对零信任的理解都比较“简单粗暴”,那就是:零信任就是可以用任何设备开展业务的一种方式。这实际上是“零信任主义”安全业务双赢的终极目标和结果。对于刚刚开始实施零信任的团队来说,直奔“最高纲领”会让你的防御系统漏洞百出。事实上,零信任的目的是从技术上表达对任何设备或网络的不信任态度(原则)。这是一个安全原则和范型的转移,也是一个循序渐进的过程。

首先,提供对正确应用程序的正确身份访问,并确保这些用户及其访问之间存在细分。接下来,将已批准的设备移至可对设备或用户进行身份验证的位置(确保已建立对应的身份验证基础结构)。一旦建立零身份验证基础设施,你就可以进一步扩展可访问网络的设备类型。

误区4:放弃企业数据中心,使用云将大大加快零信任的实现

从零信任的角度来看,将企业数据中心环境转移到云中不可避免地会带来安全灾难。这里的陷阱通常是缺乏对数据中心资产,它们所连接的对象,以及企业各部门的可见性。仅在云中重新实例化数据中心并不能赋予您这种可见性。实际上,这样做会进一步降低可见性,因为与数据中心相比,可在云端增加摩擦的控件更少。

在迁移到云之前,请确保对以上提到三大要素有足够的可见度:应用程序生态系统到用户的边界,执行身份验证所需的用户身份属性,以及需要访问资产的设备。

数字化转型的趋势已经不可阻挡,这意味着企业将无可避免地走上零信任之路。现在的问题不再是上不上零信任,而是如何避免误区和陷阱,希望以上总结的四个零信任误区能够帮助企业安全主管们少走弯路。

(0)

相关推荐

  • 零信任安全的认知

    安全性在软件架构体系中的地位举足轻重,不仅是非功能性约束的重要考量领域,而且是业务本身的根本性功能需求.安全性同样涉及着诸多的领域,从基础设施到网络空间,从应用安全到数据安全,从访问控制到恶意软件,构 ...

  • 网络如何能支持零信任?

    简而言之,零信任度要求验证每个试图访问网络的用户和设备,并执行严格的访问控制和身份管理机制,以限制授权用户仅访问完成工作所需的那部分资源. 零信任是一种架构,因此市面上有许多潜在的解决方案,不过本文介 ...

  • 英国国家网络安全中心:零信任架构设计原则(一)

    0.零信任简介 零信任架构是一种系统设计方法,其中消除了对网络的固有信任. 相反,假设网络是敌对的,并且每个访问请求都根据访问策略进行验证. 对请求可信度的置信度是通过构建上下文来实现的,而上下文又依 ...

  • 用手机登录不良网站会中病毒吗?

    很多手机用户在浏览网页的时候可能会不小心点坏了网页(或者有些是故意的).他们是否担心浏览后手机中毒?我担心我的银行卡密码被暴露,担心我的手机不再安全?郭果今天就来找你聊聊:用手机浏览不良网站会中毒吗? ...

  • 网络安全的新基石,从“零信任”开始

    2020年注定要和一个词紧紧联系在一起,那就是安全. 新冠疫情全球蔓延,几乎让所有人都开始谨慎地减少外出,与他人保持社交距离.与之对应的是,人们有了更多的时间花费在电子设备和网络世界当中. 相比较于病 ...

  • 腾讯安全孙方霆:从理念到大型实践,零信任的“落地密码”

    随着企业数字化转型的不断深化,远程办公.移动办公逐渐成为主流办公形式,但在复杂多变的安全环境下,如何应对来自内外部的潜在安全风险也成为了企业的必修课题. 在 1 月 23 日举办的 TGO 鲲鹏会杭州 ...

  • 挑选大户型有讲究 千万避开这四大误区

    原标题:挑选大户型有讲究 千万避开这四大误区 主力资金加仓名单实时更新,APP内免费看>> 大户型的优势在于合理的设计能让居住者最大限度地享受居住的舒适感,达到充分利用空间的目的.那么,在 ...

  • 『性生活』中国男人对肾虚了解的四大误区

    在今年"两会"上,全国人大代表钟南山院士也曾批评补肾壮阳药,他亲自买下两款壮阳药送检后发现,其中伟哥成分大幅超标."有些药品含有激素,病人吃两三年后,骨头碎了.断了,很惨 ...

  • 糖尿病认识的四大误区

    误区一:吃无糖食品,血糖不会升高 刘阿姨得了糖尿病,儿女们都很孝顺,知道妈妈爱吃点心,就买了好多无糖食品来孝敬她,吃完后发现血糖明显升高了. 所谓无糖食品,是指在加工过程中没有加入葡萄糖或蔗糖,而用其 ...

  • 便利店经营四大误区,你犯了吗?

    很多老板在经营便利店的过程中存在着一些误区,这会影响便利店的销售额.你赚得比别人少,是因为不了解下面这些原因,也是因为你不知道便利店本来就是零售业中比较难盈利的业态. 1.品类越多越好?NO! 便利店 ...

  • 喝牛奶四大误区,你喝对了吗?

    作者:北部战区总医院 李亚楠 牛奶 被誉为是"营养最接近完善的食品".它是人体钙质的最佳来源.<中国居民膳食指南>建议每个成年人每天应该要摄入300克奶或奶制品,保证每 ...

  • 痛风的四大误区要知道!“根治”痛风的药物是真的吗?

    痛风四大误区 一.尿酸高就是痛风? 其实尿酸高不一定会得痛风,实际上尿酸高的人有一部分人会得痛风.据临床统计5%~12%高尿酸血症会发展为痛风,1%的痛风病人血尿酸并不高.所以高尿酸血症并不等于痛风. ...

  • 西洋参提神补气,功效多多,这四大误区也要知道

    西洋参作为日常生活当中较为常见的补品,具有提神补气.补中益气等多种作用.了解西洋参的功效与作用可以更具针对性地进行身体的调养. 1.具有补气功效,它能够有效的促进身体内的各种蛋白质成分的合成,如血清蛋 ...

  • 怎样补才能补到位!必知四大误区与最佳补法

    专业的非营利性纯公益戒色平台, 为青少年戒色提供指导. 弘扬中华传统文化, 倡导健康积极的生活方式. 已经帮助无数人戒除恶习, 踏上健康幸福之路. 今天专门来谈如何"补"的问题,这 ...

  • 高考二轮复习容易出现的四大误区及对策(附5个备考锦囊)

    二轮复习应该注意什么呢?如何提高二轮复习的效率呢?小编为大家整理了这篇二轮复习攻略,希望对大家有所帮助! 四大误区 01 做得多,做得晕 在二轮复习阶段,有些考生在老师布置的作业之外,还购买了大量的复 ...