![技术聚光灯>网络安全[CSO]>交谈中的手势](https://images.idgesg.net/images/article/2021/03/spot_cybersecurity_02_cso_hands_gestures_talking_by_rawpixel_cc0_abstract_security_by_jeff_hu_gettyimages-1221975486_hero-100879634-large.jpg?auto=webp&quality=85,70){kind=tracking}
云中核心业务应用程序在云中的部署增加以及大流行带来的远程工作的转变已经消除了传统的“企业护城河”安全风格的任何概念。
今天的混合工作场所,员工在旅途中,在家工作,可能每周一次或两次访问办公室,迫使网络和安全团队采用更灵活的方法来管理网络,身份和身份验证。
零信任网络访问(ZTNA)已成为解决当今安全挑战的首选方法。这个概念相对简单:而不是建立分层的周长防御防火墙,IDS/IPSES和反病毒软件,零信任假设每个用户或设备都受到信任,直到得到充分验证为止。
但是,实施可能很复杂。大多数企业都知道,尽管从每个有利位置都从零信托中获得的供应商的炒作,但高管无法购买零信托的现成,并在夏季部署。
零信任不是产品,它是一个框架,建筑,一种理念,可以采取多种形式,需要大量时间和精力才能成功实施。以下是询问供应商的问题列表,以了解如何帮助您的公司接受零信托原则。
1.如何利用我现有的安全性和网络基础架构作为向ZTNA过渡的一部分?
多年来,企业已经投入了大量资金,用于安全,网络硬件和软件。一个关键的挑战是在尽可能多地利用现有技术的同时过渡到ZTNA。
大多数公司已经有了ZTNA难题的部分,无论是身份管理,访问控制,两因素认证,网络细分或策略管理。但是很少有人以一种全面,综合,可扩展,以政策驱动的方式掌握了零信任的所有方面。
网络自动化供应商Gluware的安全副总裁Tim Silverline表示:“公司需要寻找一个可以帮助他们确定最容易保护的元素的供应商。”
2.企业希望通过零信任实现什么业务目标,供应商如何帮助实现这一目标?
寻找不会通过谈论技术来启动关于零信任的讨论的供应商,但首先要求您定义您面临的业务挑战和所寻求的好处。
网络风险管理公司Simspace安全战略总监David Berliner说,目标可以包括安全远程访问对于在家工作的员工,保护场所和云中的敏感数据,或为软件开发人员提高API安全性。
公司需要确定供应商将如何针对组织的业务需求定制解决方案。
3.管理身份并将其应用于整个企业网络的安全控制的计划是什么?
Silverline说,ZTNA供应商应与客户级别,并承认在企业网络上应用身份控件说起来容易做起来难。例如,许多公司忽略了在员工访问Web应用程序等方案中应用颗粒状身份管理。
他说:“现在有太多差距,而点解决方案太多(例如Web应用程序防火墙)试图填补这些空白,但不足以整合到所有身份用例中的单一解决方案。”
从好的方面来说,Silverline表示,更多成熟的安全组织正在利用安全编排,自动化和响应(SOAR)工具或扩展检测和响应(XDR),以尽可能地尝试并平滑整合复杂性。
4.供应商将如何帮助我们优先考虑重要的事情,以便我们可以以零信任创造最初的胜利并获得员工和高层管理人员的信心?
Banyan Security的首席安全官Den Jones(不要与现已停产的Banyan Systems混淆)建议企业寻找使用户体验优先事项的供应商。公司需要使零信任尽可能无摩擦,否则工人将找到一种解决任何新安全控制的方法。
一种方法是基于数字证书并逐步淘汰那些烦人的用户名和密码。When users are accessing their productivity apps via the cloud or other internet-facing apps and doing so in a way that’s passwordless and backed up by two-factor authentication, they will be more accepting of other steps in the Zero Trust process that may impact their lives.
此外,琼斯指出,高层管理人员将注意到这一早期成功,并将更加容易地为更复杂的零信任项目提供资金,例如自动对网络上的用户活动的持续监视。
琼斯建议,当IT Exec向高层管理人员解释零信任时,最好保持简单。他将其归结为三个简单的结果:人们想听到零信任的成本降低,对用户的价格更容易,并提高整体安全性。
5.供应商将如何帮助我们确定需要保护哪些数据并帮助我们从零信任的角度不断地管理整个企业的数据?
Dan Weiss, senior vice president of application and network security services at pen testing company GRIMM, says the industry has gone from “defining the network” in the old perimeter-centric world to “defining the data” as companies run today’s remote and hybrid networks.
魏斯说,公司必须首先执行资产发现,以找出公司在网络上的数据,存储的位置以及如何跟踪。然后,确定哪些特定数据资产最敏感,设置数据分类策略,并自动化资产的管理和跟踪。
6.我们如何为每个最终用户设置粒状访问控件?
为了实施ZTNA,公司需要了解其最终用户。应该登录谁,应该允许每个用户做什么?例如,应收账款人员应仅在付款时每月一次访问某些文件夹。
魏斯说:“零信任的全部要点是,在用户得到充分验证之前,公司不信任。”“他们必须确信这是他们认为是的人,做他们应该做的事情。”他补充说,在整个用户会话中设置和执行访问控制是许多公司跌倒的地方。
7.供应商将如何帮助我们设置微序列,以便我们可以缩小攻击表面并减少网络中的间隙?
网络细分已经大约很长一段时间微分析。
在零信任网络中,公司可以围绕单个端点或具有非常有限访问的单个服务器创建细分市场。例如,传统上,人力资源部门可能一直处于自己的网络细分市场,但是现在人力资源主管可能拥有自己的领域,对他们可以做什么和不能做什么,具有非常明确的防火墙规则。
在微分类方法下,可以允许工资单人访问工资单,但不能访问工资数据。魏斯说:“在网络配置和网络控制方面,要求更高。”
8.供应商的违反通知政策是什么,如果我们的主要身份管理平台下降,它们是否有备份计划?
10年前,企业高管可能没有问过这个供应商的问题,但柏林纳说,在最近的情况下Okta违规在其中一个主要的身份供应商被渗透的情况下,公司确实必须向后推迟并询问供应商在违反情况下会发生什么。
企业客户不仅需要考虑要点失败,还需要考虑更广泛的后果。公司需要问以下问题:哪些系统和用户被暴露?哪些数据可以访问?是否有一个坏演员的横向运动可以绕过我们的防御层?我的补救策略是什么。
柏林纳说:“在某些情况下,根据严重程度,这是盗版。”“在其他情况下,这可能是有限的违规行为,它通过撤销进一步的访问权限,使单个终端或员工离线。”
柏林纳说,理想情况下,企业的团队始终如一地练习处理身份解决方案的妥协或零信任体系结构中的类似系统的妥协,以便他们对如何做出响应具有肌肉记忆。
对于公司而言,让团队建立在“大个子”命中时,无论是违反身份系统,民族国家攻击还是由员工用户错误造成的常见违规行为,这一点非常重要。