兴趣zero-trust安全性显著提高在过去两年在组织寻找更好的方法来控制访问企业数据在云和本地环境为远程工作者,承包商和第三方。
几个因素推动的趋势,包括日益复杂的威胁,加速云应用和广泛转移到远程和混合的工作环境,因为大流行。许多组织已经发现,传统安全模型在周边的一切都隐式可信,不工作在周边的环境中不存在,企业数据和访问它的人越来越分布和分散。
拜登在2021年5月,政府行政命令要求联邦机构实现zero-trust安全有高度的兴趣。362年的一项调查显示,去年安全领导人,Forrester研究代表Illumio三分之二的受访者表示,他们的组织计划增加zero-trust预算在2022年。超过半数(52%)的预期zero-trust项目将意义重大,整个组织的利益和50%的人说这将使安全云迁移。
网络安全厂商,感觉一个巨大的机遇,已经送往市场的产品贴上数组zero-trust技术。进行的一个非正式的调查,分析公司IT-Harvest属于2800供应商的网站显示238 zero-trust突出。“白宫和中钢协发布了指导后切换到zero-trust方法,每个人都想结合的概念,”理查德•施奈尔说IT-Harvest首席研究分析师。
炒作这些技术造成了相当大的混乱,促使Forrester研究,分析公司首次引入这个概念,澄清其定义为现代zero-trust今年早些时候。“假新闻传播安全供应商关于零信任安全优点引起混乱,”Forrester说。“零信任是一个信息安全模型,默认拒绝访问应用程序和数据。威胁的预防是通过只允许访问网络和工作负载利用政策通知连续,跨用户及其相关设备上下文,基于风险的验证。”
这里有五个错误组织实施zero-trust安全战略时需要避免:
1。假设Zero-Trust ZTNA
实现zero-trust网络访问(ZTNA)实现zero-trust至关重要。但ZTNA孤独不是zero-trust。
ZTNA是一种方法,以确保远程员工、承包商、业务合作伙伴和其他安全、自适应基于策略的访问企业应用程序和数据。ZTNA,用户授予访问在最低权限的基础上,根据自己的身份、角色和实时信息设备安全状态,地点,和各种各样的其他风险因素。
每一个访问请求一个企业应用程序、数据或服务,是对这些风险审查标准和只授予特定资源的访问请求,而不是底层网络。
在过去的两年里,许多组织已经实施或开始实施ZTNA远程接入的替代者vpn。突然转向更大流行的分布式的工作环境,因为不知所措VPN的基础设施在许多组织中,并迫使他们寻找更多的可伸缩的替代品。
“主要用例驱动ZTNA VPN增加或更换,本身由一个前所未有规模的远程工作,”丹尼尔•肯尼迪表示451个研究分析师,标普全球市场情报的一部分。
vpn历来是提供访问公司网络,而不是特定的资源,这些天可以托管在任何地方。通过VPN回程交通,然后回到资源举办以外的企业网络应用是一个不必要的步骤,肯尼迪说。“ZTNA提供更细粒度的水平和重新验证访问,而不是只提供一个身份验证门的访问。”
但ZTNA只是zero-trust故事的一部分。一个组织不能令人信服地说他们已经实现了零信任没有非此即彼的最好both-privileged实现身份管理和微营销,Forrester Research的分析师大卫·福尔摩斯说。
Forrester微营销定义为一种方法减少的影响由隔离敏感数据和系统数据泄露,让他们进入受保护的网络段然后限制用户访问这些保护段,并有很强的身份管理和治理。
目标是最小化攻击范围和限制违反所带来的后果。zero-trust的关键是确保用户,包括那些与访问权限管理功能,不得到更多他们需要访问应用程序和数据,福雷斯特说。
2。困惑zero-trust产品
有许多工具和产品,可以帮助组织实现zero-trust策略。但不要混淆它们的战略本身。
“zero-trust哲学基本上是不再隐式信任扩展到应用程序,设备,或用户根据他们的来源,”肯尼迪说。相反,它是关于实现默认否认/最小特权的方法来访问的连续评估风险,可以根据用户或实体行为等因素变化为例,他说。
在考虑技术实现策略,忽略了标签和寻找产品功能,领带回到zero-trust作为最初定义的基本原则。
”方面发展,当然,这个,”肯尼迪说。“但他们做有内涵。所以,联想产品方法必须植根于现实的连接到哲学概述。“这意味着关键zero-trust原则如微营销的技术支持,软件定义的周边和设备的完整性。
“我看到的最大的脱节是造成未满足的期望把零——信任策略或哲学与一个特定的产品实现,”肯尼迪说。
3所示。假设你可以实现zero-trust没有基本的安全卫生
仅仅部署正确的工具是不够的,如果你不注意基本面,约翰·佩斯卡托雷说新兴安全趋势SANS研究所主任。
“在操作方面,最大的错误是认为你可以实现zero-trust没有首先实现基本的安全卫生,”他说。“如果你不能信任端点安全配置,保持修补;如果你不能信任的身份,因为在使用可重复使用的密码;如果你不能信任软件,因为它还没有测试,然后实现零信托利益是不可能的,”佩斯卡托雷说。
工具可以帮助zero-trust安全的技术方面。但即使与他们,有很多无法避免的脑力劳动,Forrester的福尔摩斯说。“例如,一个组织仍然需要一个令人信服的数据分类方法,有人需要审计员工和第三方的特权,”福尔摩斯说。“通常都是不平凡的,手工,任务。”
IT-Harvest施奈尔说道是个好方法组织是第一个身份和审查领域在IT基础设施,保护是基于某种形式的信任。例如,它可以是一个就业协议当一个组织信任用户遵守其政策。也可以是合同或服务水平协议关于如何与云提供商(或不愿)使用组织的数据。
“一旦你已经确定了这些空白开始填技术控制,”他说,“你可以监控员工是否遵守政策,当然应该加密您的数据在云中所以你不必依赖于一个提供者的好的行为,“施奈尔说道。
4所示。在定义糟糕的用户访问策略
zero-trust方法可以帮助组织执行适应性,基于策略的访问控制企业资源,考虑多种实时风险因素,如设备安全,资源被请求的位置和类型。当正确实现,这种方法可以确保用户只能访问特定的资源请求,和最低权限的方式。
这样做有效、安全和IT管理员需要清楚地了解谁需要访问,副总裁Patrick Tiquet说安全在门将和建筑安全。这意味着列举所有可能的用户角色,然后根据工作需求分配和角色。
“Zero-trust确实是一个简单的概念:用户授予对资源的访问要求履行工作职能,不授予对资源的访问,不需要“Tiquet说。
例如,他指着一个共享网络驱动器10-employee公司,每个人都可能有访问权。驱动器包含销售、人力资源、会计、和客户信息,让公司里的每个人都可以访问无论角色。“有大量的未授权访问的风险,数据丢失、窃取数据,未经授权的披露,“他说。“正确地应用zero-trust在这种情况下将限制访问,但不影响生产率,同时大大降低风险。”
Tiquet说最好坚持最初定义的访问角色然后分配或unassign新访问角色所需的个人用户。
5。忽视了用户体验
零对终端用户信任模型有很大的影响,所以不要忽视用户体验。“身份验证和访问影响几乎所有的雇员,所以失误对于CISO的代价昂贵,”肯尼迪说从451组。
当zero-trust行动匆忙没有充分准备改变,用户可以影响员工生产力。一个拙劣的计划或负面影响用户也可以在整个工作的可信度。
“成功的步骤很好穿,”肯尼迪说。“zero-trust策略建立一个理想的最终状态,并有条不紊地实现不同厂商合作伙伴,”他说。仔细计划,执行和测试,以确保所需的任何额外的步骤被用户启用相应的安全利益,他说。