零信任模型是当今这个不可信的数字时代的强大身份验证框架. 在这个模型中, 每一个人, 端点, 移动设备, 服务器, 网络组件, 网络连接, 应用程序工作负载, 业务流程, 数据流本质上是不可信的.
像这样, 在执行每个事务时,必须对它们进行连续的身份验证和授权, 所有的行为都必须是实时的,事后的审计. 零信任是一个活生生的系统, 所有访问规则都在不断审查和修改中, 所有允许的交易都要不断复查. Gartner公司. 预测 到2026年,10%的大型企业将拥有成熟且可衡量的零信任计划, 从今天的不到1%上升.“那么,为什么世界似乎花了这么长时间才接受零信任?? 因为很难在企业范围内的可伸缩级别进行集成.
零信任不仅仅是——不仅仅是关于五年后事物状态的一个讨论点——它是一个组织如何处理访问的必要和根本的改变, 身份验证, 授权, 审计, 持续监测. 一个健壮的 身份和访问管理(IAM) 程序是每个安全组织试图领先于恶意参与者的起点.
你不可能一夜之间接受零信任, 但你今天就可以开始你的旅程, 知道你正在帮助你的组织保护自己免受当前和未来的各种威胁.
零信任通过帮助安全组织认识到 最低权限访问(LPA) -个体和组件应该只拥有执行所需操作所需的最小访问权限的概念. 它首先将第二个身份验证因素应用于先前由一组初步凭据验证的用户.
对整个身份验证尝试进行实时风险评估,以查看是否, 例如, 一个人的联系是在一个允许的地理范围内, 访问时间在该人员的正常操作模式内, 而且这个人还没有一个固定的会话.
即使攻击者设法通过-例如-较弱的SMS获得多因子代码 2因素身份验证 (2FA),这是一个组织能够负担得起的实现——他们可能会实现一个成功的连接, 但不能访问所有内部网系统和服务. 事实上, VPN连接只允许他们访问一组定义的应用程序或服务. 如果攻击者试图尝试网络扫描或执行其他行为网络操作, 监控系统将收到警报,该个人及其联系将被隔离以进行调查.
每个事务都有一组定义好的身份验证, 授权, 行为审计规则持续地让总体零信任系统确保交互的安全.
零信任安全方法可以真正应用于任何设备, 应用程序, 或者人类连接到互联网或连接的系统. 身份验证适用于所有情况,特别是那些敏感性质的情况,以便最好地保护业务. 让我们来看一些具体的用例:
物联网(IoT)设备不断地从公司网络上的任意数量的应用程序发送和请求数据. 在更传统的安全模型中, 基于多种因素,物联网设备被赋予了一定程度的信任. 随着这些设备的数量及其用户的攻击面不断扩大, 实现零信任是至关重要的,这样可以加强安全性并对所有内容进行身份验证.
由于世界各地的公司都在争先恐后地建立远程员工队伍,以缓解生产率下降的影响,此次疫情对攻击者来说是一份礼物. 攻击范围几乎在一夜之间扩大了,因为适当的安全措施已经成为保持企业运行的次要因素.
从大流行中复苏, 全球大部分劳动力都是混合型的——在办公室工作几天, 在家呆几天——因此,零信任等解决方案应该继续存在,以保护企业在这种新常态下的安全. 每个员工每天都必须验证他们对公司网络应用程序的访问.
依赖第三方供应商和销售商是当今经济的底线. 任何企业或安全组织都不可能完全独立并蓬勃发展. 利益相关者必须假设第三方对其网络的任何访问都是一个漏洞. 因此, 这些外部供应商必须不断验证和验证其网络存在,以减轻可能来自该供应商自身环境的网络威胁.
的根本原因 ransomware 可归因于大量错误:配置错误, 人类, 弱认证协议, 以及普遍缺乏网络安全意识. 很多都是人类造成的. 这就是为什么零信任架构是对抗勒索软件的关键武器——它只需要对人类或应用程序需要采取行动的区域进行身份验证.
虽然这部分可以写满一整本书, 让我们来谈谈零信任旅程开始的场景. 迈出第一步, 您需要选择至少一个业务流程或服务访问场景来迁移到这个新模型.
必须标识负责启用业务流程或服务的每个组件和个人,并对体系结构进行完整的文档记录. 此时此刻, 您可能会发现需要重新构想体系结构,以确保拥有必要的控制和审计点.
然后需要身份验证, 授权, 审计, risk-assessing, 以及支持流程或服务中每个连接的访问决策的实施解决方案. 最后, 您将需要人员来支持所执行的规则的创建和维护, 除了传统的 打补丁,缓解,和 配置管理 执法活动.
然后,对所有其他流程和服务重复上述步骤. 换句话说,实现可扩展的零信任需要付出相当大的努力.
然而, 你不应该——而且, 在现实中, 不能一次将所有业务流程和服务移至零信任. 一旦您评估了最初的服务,就开始获取必要的工具和服务的基础工作 雇佣必要的员工 确保一个成功的结果. 然后, 当资金和时间对你有利时,你可以将最初的服务转变为零信任, 在你评估维持安全和恢复力所需的条件时,把它留在原地一段时间. 一旦您相应地调整了工具和人员配备计划, 您可以开始处理其余的流程或服务.
值得庆幸的是, 在现有的安全性和遵从性解决方案和流程中,您可能有许多这样的组件和人员, 最终,您可以使用更多现有投资的能力,而不是大多数组织通常使用的5-15%.
在组织中引入零信任时,需要克服的最大心态挑战之一是担心模型施加的约束会降低生产力并阻碍创造力. 这些恐惧可以通过正确的零信任框架来克服: