澄清對(duì)零信任安全的5大誤區(qū)
不只是“信任但要驗(yàn)證”,零信任模型應(yīng)該假設(shè)威脅者會(huì)開(kāi)展發(fā)起威脅活動(dòng)——即使他們還沒(méi)有。目前有一些對(duì)零信任的誤解阻礙了其發(fā)展。
多年來(lái),主流的安全信條是“信任但要驗(yàn)證”。然而,這種觀念已不足以應(yīng)對(duì)當(dāng)今無(wú)邊界、全球化、移動(dòng)化、基于云的威脅環(huán)境。
據(jù)Gartner預(yù)計(jì),在2019年組織機(jī)構(gòu)將投入1370億美元在IT安全和風(fēng)險(xiǎn)管理上,因?yàn)?018年66%的企業(yè)都經(jīng)歷過(guò)安全漏洞。你可能會(huì)想安全投資這么大,我們應(yīng)該會(huì)比壞人領(lǐng)先幾步,但現(xiàn)狀是幾乎每周都會(huì)有備受矚目的網(wǎng)絡(luò)威脅新聞出現(xiàn)。
零信任安全是對(duì)陳舊安全策略的一劑良藥,因?yàn)樗蠼M織機(jī)構(gòu)永遠(yuǎn)不要信任并始終進(jìn)行驗(yàn)證。每個(gè)企業(yè)必須認(rèn)識(shí)到威脅者存在于網(wǎng)絡(luò)內(nèi)外,并且基于邊界的安全無(wú)法再防御基于身份和基于證書的侵入。而身份和證書是當(dāng)今主要的威脅媒介。現(xiàn)在的解決方案是通過(guò)僅在適當(dāng)?shù)臅r(shí)候授予足夠的權(quán)限,將信任完全移除。
然而,目前有一些對(duì)零信任的誤解阻礙了其發(fā)展。讓我們看一下5大誤區(qū),并澄清事實(shí)。
誤區(qū)1:零信任安全之路始于數(shù)據(jù)完整性
請(qǐng)放心,加密敏感數(shù)據(jù)并確保其完整性仍然是理想做法。 沒(méi)有人否認(rèn)這一點(diǎn)。但是如果威脅者已經(jīng)獲得了訪問(wèn)權(quán)限(包括解密密鑰),那么還能如何限制威脅者竊取數(shù)據(jù)呢?
Forrester估計(jì)80%的數(shù)據(jù)泄露事件都是由于特權(quán)證書濫用造成的。與個(gè)人賬戶相比,特權(quán)證書為竊取數(shù)據(jù)提供了更大的平臺(tái),所以只要一個(gè)受損的證書就可以影響數(shù)百萬(wàn)人并造成大巨大的損失。這也就不意外Gartner建議將特權(quán)訪問(wèn)管理(PAM)置于任何安全項(xiàng)目列表的第一位了。
在組織開(kāi)始實(shí)施以保護(hù)身份為中心的安全措施之前,賬戶威脅將持續(xù)為數(shù)據(jù)泄露提供完美的偽裝。因此,零信任之路應(yīng)該始終從保護(hù)身份開(kāi)始。
誤區(qū)2:零信任只適用于大型組織機(jī)構(gòu)
谷歌是很早采用零信任模式的公司之一。因此很多人仍然認(rèn)為該模型只適用于大型組織機(jī)構(gòu)。但實(shí)際情況是,沒(méi)有公司在面對(duì)網(wǎng)絡(luò)威脅是安全的。事實(shí)上,根據(jù)“2018年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告”,61%的數(shù)據(jù)泄露事件影響到了小型企業(yè)。
好消息是零信任安全不會(huì)讓你傾家蕩產(chǎn)。企業(yè)規(guī)模和預(yù)算不應(yīng)該成為阻礙,因?yàn)榧词故呛苄〉钠髽I(yè)也可以通過(guò)成本效益高、循序漸進(jìn)的方法開(kāi)始零信任工作。例如,很多組織機(jī)構(gòu)通過(guò)使用密碼庫(kù)或多因素身份驗(yàn)證等容易實(shí)現(xiàn)的功能,顯著提高了其安全性。每年在每個(gè)系統(tǒng)上花費(fèi)幾百美元是非常值得的,可以避免潛在數(shù)百萬(wàn)美元的罰款、處罰或品牌損失。
誤區(qū)3:我需要完全替換整個(gè)網(wǎng)絡(luò)安全環(huán)境
谷歌在第一次建立其零信任安全架構(gòu)時(shí),的確決定從頭開(kāi)始建立整個(gè)安全網(wǎng)絡(luò)。但對(duì)于大部分組織機(jī)構(gòu)來(lái)說(shuō),情況并非如此。
零信任可以簡(jiǎn)單的通過(guò)增強(qiáng)環(huán)境中已有的安全控制開(kāi)始。例如,你可以從部署“MFA無(wú)處不在”方案開(kāi)始,這種方案并不復(fù)雜并能夠帶來(lái)巨大的價(jià)值。這第一步非常有助于建立身份保障并能夠顯著減少威脅層面,為你的組織機(jī)構(gòu)走向零信任之路打下堅(jiān)實(shí)的基礎(chǔ)。
誤區(qū)4:零信任僅限于本地部署
很多組織機(jī)構(gòu)認(rèn)為零信任只適用于本地工作,而不能應(yīng)用到公有云上。當(dāng)敏感信息存儲(chǔ)在傳統(tǒng)網(wǎng)絡(luò)外部時(shí),這將成為一個(gè)問(wèn)題。
事實(shí)上零信任可以輕松擴(kuò)展到云環(huán)境中,而且隨著各行各業(yè)轉(zhuǎn)向混合,多云環(huán)境,這一點(diǎn)變得越來(lái)越重要。此外,零信任不僅包括基礎(chǔ)設(shè)施,數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備,還應(yīng)該擴(kuò)展到其他威脅層面,這些層面正日益成為現(xiàn)代組織機(jī)構(gòu)發(fā)展的戰(zhàn)略要求,包括大數(shù)據(jù),DevOps和容器等。
誤區(qū)5:零信任的唯一好處是它能將我面臨的風(fēng)險(xiǎn)降低
減少風(fēng)險(xiǎn)顯然是零信任帶來(lái)的主要益處,但是絕對(duì)不是唯一的好處。
Forrester總結(jié)道零信任可以將一個(gè)組織機(jī)構(gòu)面臨的風(fēng)險(xiǎn)降低37%甚至更多。但是他們也發(fā)現(xiàn)部署零信任的組織機(jī)構(gòu)可以減少31%的安全支出,在整體IT安全預(yù)算中節(jié)省數(shù)百萬(wàn)美元。
零信任還可以帶來(lái)更大的商業(yè)信心。Forrester研究發(fā)現(xiàn)部署零信任的組織機(jī)構(gòu)對(duì)采用移動(dòng)工作模型的信心高出66%,保護(hù)DevOps環(huán)境的信心高出44%。因此他們能夠更有信心和保障加速使用新的商業(yè)模型,帶來(lái)新的用戶體驗(yàn)。
重要的是,今天的安全工作并不安全。零信任模型不只是“信任但要驗(yàn)證”,一個(gè)零信任模型假設(shè)威脅者會(huì)發(fā)起進(jìn)攻——即使他們還沒(méi)有。采用了零信任,你可以減少威脅層面,提高審計(jì)和合規(guī)的可見(jiàn)性,并降低復(fù)雜性和成本。
零信任是現(xiàn)代混合型企業(yè)實(shí)現(xiàn)安全的根本方法。記住:永遠(yuǎn)不要信任。始終進(jìn)行驗(yàn)證。
這些才不是誤區(qū)。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
