零信任面臨的一些問題包括許多實際的和認知方面障礙����,以及需要仔細協(xié)調(diào)才能實現(xiàn)承諾的一系列復(fù)雜產(chǎn)品��。其結(jié)果是:零信任不會很快成為解決日益嚴重的網(wǎng)絡(luò)安全問題的靈丹妙藥����。
零信任最早是由John Kindervag在2010年擔任Forrester Research公司分析師時提出的。它的工作方式是,企業(yè)必須確保網(wǎng)絡(luò)上的每個文件請求���、數(shù)據(jù)庫查詢或其他操作都來自具有正確權(quán)限的用戶��。新設(shè)備必須在訪問每個網(wǎng)絡(luò)應(yīng)用程序之前進行注冊和驗證�����,并且每個試圖登錄的用戶都被認為是惡意的����,除非得到證明可信����。如果操作得當,它承諾將用戶從更主流的網(wǎng)絡(luò)安全方法的許多限制中解放出來����,提高安全防御能力。
自從Kindervag提出這個想法以來���,他創(chuàng)建了一家管理服務(wù)公司,該公司提供了他創(chuàng)建的數(shù)十種解決方案之一��。如今��,幾乎所有主要的安全提供商都有一種服務(wù)或產(chǎn)品將零信任作為其產(chǎn)品名稱的一部分,思科系統(tǒng)股份有限公司等一些公司最近也發(fā)布了新產(chǎn)品公告�����,將其定位在零信任領(lǐng)域����。
(資料圖片)
但在實踐中,盡管推出這些產(chǎn)品��,零信任解決方案在很大程度上仍然是不完整的���,在某些情況下甚至沒有使用�。Gartner公司分析師John Watts在該公司去年12月的年度預(yù)測備忘錄中寫道�����,“在零信任的情況下從理論轉(zhuǎn)向?qū)嵺`是一項挑戰(zhàn)��,目前只有不到1%的大型企業(yè)真正在使用它����。”
此外,Watts預(yù)測�,“到2025年,60%以上的企業(yè)將把零信任作為安全的起點��,但超過一半的企業(yè)將無法意識到其好處����。”與此同時�����,麻省理工學(xué)院林肯實驗室的Nathan Parde在去年5月發(fā)表的一份報告中估計����,典型的零信任部署將需要三到五年的時間。當然��,這是一個令人沮喪的消息����。
這些結(jié)果與其他供應(yīng)商的調(diào)查結(jié)果大相徑庭。Okta公司的《2022年8月零信任安全狀況》報告發(fā)現(xiàn)���,在接受調(diào)查的700家企業(yè)中,幾乎所有企業(yè)都已經(jīng)啟動了零信任計劃,或者有在未來幾個月啟動零信任倡議的明確計劃��。
但這些結(jié)果多少有一些誤導(dǎo)���。首先�����,從開始到完成零信任的推出可能需要數(shù)年時間��。其次�,說和做是截然不同的兩件事�,而在這項調(diào)查中也表明有一些是零信任的有效執(zhí)行者。
網(wǎng)絡(luò)安全的簡史
隔離網(wǎng)絡(luò)基礎(chǔ)設(shè)施以更好地保護各種資源的想法始于20世紀90年代中期出現(xiàn)的第一批網(wǎng)絡(luò)防火墻和虛擬專用網(wǎng)絡(luò)(VPN)�����。早在2008年��,DarkReading公司就對許多可以被稱為防火墻發(fā)明者的作者進行了研究�。大多數(shù)分析人士會說,最早將防火墻商業(yè)化的是CheckPoint軟件技術(shù)有限公司���,該公司至今仍在銷售防火墻����。至于全球第一個VPN協(xié)議,大多數(shù)人都認為是由微軟公司在1996年創(chuàng)建的�����,然后在本世紀初開始流行��,思科��、瞻博網(wǎng)絡(luò)和其他公司仍在出售網(wǎng)絡(luò)防火墻和VPN����。
防火墻和VPN的作用是通過制定各種策略來隔離網(wǎng)絡(luò):來自內(nèi)部營銷數(shù)據(jù)庫的網(wǎng)絡(luò)流量將被允許進入這部分網(wǎng)絡(luò),而來自內(nèi)部人事數(shù)據(jù)庫的網(wǎng)絡(luò)流量則不允許��?�;蛘咴试S來自外部網(wǎng)絡(luò)的查詢訪問企業(yè)的web服務(wù)器�����,但不允許訪問其他任何數(shù)據(jù)���。如何構(gòu)建這些策略是這兩款產(chǎn)品的秘密���,網(wǎng)絡(luò)安全專家經(jīng)過培訓(xùn)和實踐才能弄清楚這一切�。
在那個網(wǎng)絡(luò)邊界嚴格且定義明確的時代���,這沒什么問題。但隨著網(wǎng)絡(luò)應(yīng)用程序分散在網(wǎng)絡(luò)上��,邊界不再是一個可行的想法����,也不可能強制執(zhí)行。隨著企業(yè)使用更復(fù)雜的軟件供應(yīng)鏈���,它們變得依賴于那些應(yīng)用程序編程接口�,并且對各種軟件和組件如何組合在一起了解較少�。
網(wǎng)絡(luò)攻擊者知道他們最終可以找到進入網(wǎng)絡(luò)的方法。VPN和防火墻成為新的安全隱患�����,尤其是隨著越來越多不受信任的遠程設(shè)備已經(jīng)加入企業(yè)網(wǎng)絡(luò)�����。
進入零信任
這就是Kindervag提出零信任理念的由來。Kindervag表示�,不能相信任何人或任何應(yīng)用程序,必須審查每次互動���,這是一些安全專業(yè)人士所說的“最低特權(quán)”���。它開啟了一個自適應(yīng)身份驗證的時代,用戶和應(yīng)用程序最初并沒有獲得100%的訪問權(quán)限��,但企業(yè)會根據(jù)具體情況逐步批準�。
例如,如果人們向銀行查詢當前余額�����,必須證明自己擁有合法的賬戶���。如果想轉(zhuǎn)移資金�����,則必須做更多的事情�����,如果想把資金轉(zhuǎn)移到一個新的海外賬戶����,還必須做更多的事情。
如今的零信任創(chuàng)造了“信任經(jīng)紀人”的概念��,即交易雙方都信任的調(diào)解人或中立的第三方�。設(shè)置這些機制并不容易����,特別是在雙方不一定直接了解或信任對方的情況下,特別是在不同的情況����、應(yīng)用程序和用戶類型需要不同代理的情況下。
這種復(fù)雜性就是當今的零信任實現(xiàn)所處的位置��。OpenText公司旗下的NetIQ公司在其“企業(yè)零信任狀態(tài)”報告中說�����,“當大量數(shù)據(jù)和工作負載現(xiàn)在生活在傳統(tǒng)網(wǎng)絡(luò)之外時�����,將企業(yè)系統(tǒng)、應(yīng)用程序和數(shù)據(jù)放在一個位置�,并依靠多層安全工具和控制來將攻擊者拒之門外已經(jīng)不夠了。零信任不是一個單一的軟件�����,而是一個戰(zhàn)略框架�。”將其可視化的一種方法是Gartner公司如何將其架構(gòu)圖顯示為一系列相互連接的部分��,例如處理用戶身份��、威脅情報和應(yīng)用程序�����。
人們需要了解“戰(zhàn)略”和“框架”�,以及它們對零信任實現(xiàn)的意義?�!皯?zhàn)略”意味著����,在任何可靠的網(wǎng)絡(luò)安全計劃的核心,都需要盡可能地實現(xiàn)零信任。這正是美國總統(tǒng)拜登在兩年前發(fā)布的《改善國家網(wǎng)絡(luò)安全行政命令》所試圖推動的目標���,其目標是讓美國政府機構(gòu)實施零信任安全�。
盡管這是值得稱贊的���,但仍遠未實現(xiàn)�����。即使是采用行政命令也無法通過法令實現(xiàn)零信任���,盡管最近�,美國聯(lián)邦機構(gòu)被告知要取消對VPN和路由器等各種網(wǎng)絡(luò)設(shè)備的互聯(lián)網(wǎng)訪問,這對任何信息技術(shù)管理者來說都應(yīng)該是顯而易見的�。
去年發(fā)布在《安全周刊》的一篇文章指出,“保證零信任的唯一方法就是眾所周知的拔掉電腦的插頭��,把它包裹在六英尺厚的混凝土里�����,然后把它扔進深海����?��!钡@阻礙了可用性。因此�,其訣竅在于從這種極端和不可行的位置轉(zhuǎn)向能夠提供安全性和業(yè)務(wù)利益并且實際上也有用的東西。這就是框架部分需要考慮的地方���。
身份驗證提供商Nok Nok Labs公司的首席執(zhí)行官Phil Dunkelberger表示�,“實現(xiàn)零信任框架沒有對錯之分�����,但它基本上是一個很好的結(jié)構(gòu)�����。細節(jié)決定成敗����,由于沒有一刀切的用戶和用例,因此很難部署��?!?/p>
他的觀點是,在制定零信任實施計劃時,IT和安全管理人員提出了錯誤的問題����。他說:“零信任能帶來更好的業(yè)務(wù)成果嗎?我們會有更安全的應(yīng)用程序,或者提高這些基礎(chǔ)設(shè)施投資的回報嗎?”
重新思考信任
也許很多人對零信任的理解是錯誤的����。信任用戶或應(yīng)用程序需要一個連續(xù)的過程,就像自適應(yīng)身份驗證一樣��。企業(yè)開始時要采取一些步驟來實現(xiàn)完全信任�����,每次提供一點�����。從全有或全無的方式來看����,這種模式更適合當今世界�。
零信任概念化的一種方法是考慮采用微分段來隔離應(yīng)用程序,本質(zhì)上是將防火墻抽象到特定的工作負載和用戶��。Gartner公司的Watts表示,這意味著“首先實施零信任���,改善最關(guān)鍵資產(chǎn)的風險緩解����,因為這將產(chǎn)生最大的風險緩解回報���?����!?/p>
Gartner公司使用了五個考慮因素來定義零信任:交付平臺是什么���,如何安全地實現(xiàn)遠程工作,如何管理各種信任策略����,如何保護任何地方的數(shù)據(jù),以及與第三方產(chǎn)品的集成情況���。對于一個框架或一系列產(chǎn)品來說��,這都是需要實現(xiàn)的許多接觸點����。
Watts在他的預(yù)測報告中說:“零信任可以作為一種思維方式、范式����、戰(zhàn)略或特定架構(gòu)和技術(shù)的實施?���!彼岢隽艘恍┙ㄗh,以幫助企業(yè)更成功地實施�,包括在項目開始時定義零信任控制的適當范圍和復(fù)雜程度,限制對設(shè)備和應(yīng)用程序的訪問���,以及應(yīng)用持續(xù)的基于風險的訪問策略����。
他說:“從根本上說�,零信任意味著消除構(gòu)成許多安全計劃基礎(chǔ)的隱性信任(以及信任的代理),建立基于身份和場景的信任��。這需要改變安全程序和控制目標的設(shè)置方式��,尤其是改變對訪問級別的期望�����?����!?/p>
亞馬遜網(wǎng)絡(luò)服務(wù)公司(AWS)最近在加利福尼亞州阿納海姆舉辦的re:Inforce會議展示了這將如何運作的例子��。AWS公司網(wǎng)絡(luò)防火墻總經(jīng)理Jess Szmajda展示了現(xiàn)有的零信任服務(wù)(例如驗證訪問和VPC Lattice)將如何與一系列新的零信任服務(wù)協(xié)同工作����,從而使AWS更加安全。它們包括經(jīng)過驗證的權(quán)限和GuardDuty威脅監(jiān)控工具的擴展功能��,以增加更好的安全策略粒度和更多的預(yù)防性控制��。AWS公司稱之為“無處不在的身份驗證”����。
其結(jié)果是,企業(yè)應(yīng)該為零信任的實施做好漫長而曲折的準備��。特別是如果他們能展示出直接的商業(yè)效益�,那么邁出第一步是值得的。
關(guān)鍵詞:
