部署零信任訪問的五個關鍵點
“零信任”的概念可以追溯到2010年。因為受信任的內部網絡和不受信任的外部網絡已經逐漸不再真實,而導致傳統邊界安全模型無法提供足夠的防護。這個解決方案的目的就是改變信任模型,使得沒有用戶可以自動被信任。
如今,零信任訪問(Zero Trust Access, ZTA)已經成為行業的流行用語,許多廠商都表示他們提供ZTA解決方案。在最新的總統行政令中,拜登都要求強制推行零信任方案。雖然說這個名詞處處可見,但是具體落地依然在拖延。落地緩慢的一個巨大原因在于人們依然對ZTA有太多的不解與困惑,比如它到底意味著什么,以及從哪開始著手。
這里有五個企業可以如何有效落地ZTA的信息。
1. ZTA拋棄了間接信任
ZTA的關鍵在于知道和控制哪些人、哪些東西在自己的網絡上。CISO們可以以此減少因員工帶來的風險,并且移除基于間接信任運作的系統來更有效地管理組織的網絡。
通過對用戶的接入進行限制,同時啟用進一步的身份認證,ZTA可以減少隱患,從而只有合法用戶才能接入與他們身份相關的系統——至少是“需要知曉”等級的接入權限。
2. ZTA和ZTNA不同
ZTA考慮的不僅僅是誰在網絡上,還有“什么”在網絡上。大量增加的網絡連接設備可能包括從打印機到加熱通風設備、門禁系統等物聯網設備。這些無用戶界面的設備沒有用戶名和口令來識別它們自己以及它們的角色。對于這些設備,網絡準入控制解決方案可以發現和控制接入。通過使用網絡準入控制策略,零信任最小接入原則可以應用到物聯網設備,確保這些設備有足夠的網絡接入權限進行他們的工作,并且不超出它們所需的權限。
零信任網絡接入(Zero Trust Network Access, ZTNA)是ZTA的一個組件,用于控制應用的接入,無論應用的用戶或者應用本身在哪。用戶可能在一個企業網絡上、可能在家工作、或者其他某個地方。應用可能存在于企業的數據中心、在私有云、或者在公共網絡上。ZTNA將零信任模型從網絡側繼續延展,通過將應用從互聯網上隱藏減少攻擊面。
3. 網絡準入控制是ZTA的起點
如果要落地ZTA,首先要知道網絡上所有的設備。一個網絡準入控制解決方案可以準確發現和識別每個在網絡上或者試圖接入網絡的設備,對其進行掃描以確保設備并沒有已經遭到攻擊,然后為該設備建立角色和權限。
網絡準入控制會記錄所有設備,從用戶電話和筆記本電腦,到網絡服務器、打印機、以及如HVAC控制器或者安全讀卡器等無界面物聯網設備。
4. 微隔離是關鍵
一旦知道了網絡上有些什么,就可以用網絡準入控制的動態網絡微隔離將每個設備分配到適合的網絡區域。決定哪個是正確的區域會基于一系列的因素,包括設備類型、功能、網絡上的目的等。
網絡準入控制同樣可以支持基于目的隔離,可以通過下一代防火墻平臺智能化分隔設備。分隔區可以基于業務目標,比如GDPR隱私法律的合規要求,或者PCI-DSS的交易保護。在有基于目的的分區情況下,無論在網絡何處的資產,都會基于其標簽符合合規需求,從而減少滿足合規需要的時間和成本。
5. ZTA需要終端軟件
為了解決離線設備接入客戶端或者云的解決方案,需要在終端上運行相關軟件。這個軟件必須在終端提供持續的防護以及基于行為的檢測,防止設備淪陷,無論用戶是否在線。
這類軟件同樣需要能夠通過虛擬專用網連接、流量掃描、URL過濾和沙箱能力確保遠程接入安全。共享終端的安全狀態是認證和授權流程的一部分,包括對終端進行遙測,收集終端的操作系統和應用、已知漏洞和補丁,以及安全狀態,從而準確賦予設備接入規則。
ZTA很重要,不只是一個時髦詞
在當下這個環境,遠程辦公以及大量員工設備已經成為常態。ZTA已然成為了網絡安全的一個關鍵方面。組織有機會轉向ZTA框架,以識別、分隔、持續監控所有設備。ZTA確保數據、應用和知識產權等內部資源始終安全。
除了簡化整體網絡以及安全管理,零信任方案同樣能增加組織中的可視化以及控制能力,包括離線的設備。ZTA應成為任何一個有效安全策略的基礎。只要零信任正確落地,它會只允許正確的人或者實體快速接入完成他們工作所需要的資源,同時減少因未授權接入產生的風險和下線時間。
點評
從本文的建議中不難發現,零信任訪問的關鍵之一在于網絡準入控制——或者說零信任訪問是現有網絡準入控制的未來形態。不僅是從技術層面,從邏輯層面也需要對企業的網絡進行改變。零信任理念的擴展必然會讓網絡控制準入解決方案廠商開辟新的市場。
