零信任技術(shù)自從誕生之日起就備受關(guān)注，被認(rèn)為是網(wǎng)絡(luò)安全技術(shù)發(fā)展的顛覆性創(chuàng)新理念。但是研究人員發(fā)現(xiàn)，市場上過度的概念炒作和大量濫竽充數(shù)的偽零信任產(chǎn)品，正在讓企業(yè)安全團(tuán)隊(duì)對“零信任”的期望值不斷降低，并且感到厭倦。Forrester高級分析師Heath Mullins表示：零信任已成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域?yàn)E用和誤解最嚴(yán)重的術(shù)語，用戶普遍困惑于哪些安全工具可以真正兌現(xiàn)零信任的安全承諾。

　　什么不是零信任？

　　一直以來，眾多安全供應(yīng)商都在向其客戶大力宣傳零信任到底是什么，但最終的結(jié)果是，很多受訪CISO表示，“零信任就是桌子另一頭的營銷人員極力兜售的技術(shù)噱頭！”因此，現(xiàn)在有一個(gè)更加重要的問題是，讓客戶了解什么不是零信任？

　　零信任是一種架構(gòu)、一種策略和一個(gè)持續(xù)的安全防護(hù)目標(biāo)，而不是可以用一個(gè)軟件包就能實(shí)現(xiàn)的東西。有很多工具可以幫助組織開啟這個(gè)概念，包括身份安全、訪問管理和網(wǎng)絡(luò)分段，但目前還沒有一個(gè)產(chǎn)品可以提供零信任的完整功能。

　　研究人員表示，盡管實(shí)現(xiàn)零信任需要端到端的體系化安全能力支撐，但并不是IT環(huán)境中的每一個(gè)安全控制措施都可以叫零信任產(chǎn)品。尤其是，那些旨在防護(hù)企業(yè)邊界安全的傳統(tǒng)安全設(shè)備，顯然無法幫助實(shí)現(xiàn)零信任。

　　同時(shí)，零信任是一種全面的安全防護(hù)模式變化，不能將一切已有的安全設(shè)備和能力都裝入到新模式中。從根本上說，傳統(tǒng)的網(wǎng)絡(luò)安全方法大都不是對用戶執(zhí)行的操作進(jìn)行可信度鑒別和限制，而只是保護(hù)相應(yīng)的網(wǎng)絡(luò)空間和應(yīng)用系統(tǒng)。

　　因此，不能聽信那些對零信任的定義夸夸其談的方案供應(yīng)商，這會(huì)對零信任的應(yīng)用落地產(chǎn)生誤導(dǎo)。誰聲稱可以快速或輕松提供零信任，就值得可疑。大多數(shù)組織都處于實(shí)現(xiàn)零信任安全架構(gòu)的早期階段，建設(shè)零信任需要時(shí)間，難以快速實(shí)現(xiàn)。

　　零信任到底是什么？

　　零信任好比是如何阻止現(xiàn)代網(wǎng)絡(luò)攻擊方面的一套原則。今天的攻擊者往往遵循一定的軌跡：在初始進(jìn)入到訪問環(huán)境之后，他們會(huì)在網(wǎng)絡(luò)上橫向移動(dòng)，控制更多的應(yīng)用帳戶，并提升帳戶權(quán)限，以便可以采取另外更具破壞性的行動(dòng)。

　　雖然最終的攻擊結(jié)果可能是部署勒索軟件或竊取數(shù)據(jù)，但攻擊者必須首先摸清企業(yè)的IT環(huán)境，才能真正觸及攻擊的目標(biāo)。在這個(gè)過程中，組織有很多機(jī)會(huì)可以發(fā)現(xiàn)入侵并關(guān)閉系統(tǒng)，減小安全事件的實(shí)際損害。真正的零信任方案中，有很多技術(shù)手段可以實(shí)現(xiàn)這一點(diǎn)，比如在訪問敏感資源之前多次核驗(yàn)用戶權(quán)限及其行為，或者將IT環(huán)境分成多個(gè)不同的子段，并賦予不同的安全策略。

　　實(shí)現(xiàn)零信任安全防護(hù)的前提是要消除隱性信任。換句話說，不應(yīng)該僅僅根據(jù)用戶能夠通過身份驗(yàn)證，就自動(dòng)信任他們訪問應(yīng)用程序和數(shù)據(jù)。相反，為了保障敏感資源的訪問安全，應(yīng)明確驗(yàn)證該請求的各個(gè)方面。

　　經(jīng)過技術(shù)的發(fā)展，已經(jīng)有很多安全產(chǎn)品的設(shè)計(jì)邏輯與零信任理念高度匹配，比如零信任網(wǎng)絡(luò)訪問，它就是圍繞零信任原則而建的VPN替代技術(shù)。但僅僅部署該技術(shù)無法實(shí)現(xiàn)完整的零信任架構(gòu)。目前，有許多網(wǎng)絡(luò)安全廠商圍繞零信任這一術(shù)語大做文章。比如在6月份的RSA安全會(huì)議上，幾乎參展的每家廠商都打出了和零信任相關(guān)的市場營銷口號，這給行業(yè)和用戶都造成了很大的困惑。

　　有一條經(jīng)驗(yàn)建議可以幫助用戶判斷某個(gè)產(chǎn)品是否符合零信任要求：對照相關(guān)的國家標(biāo)準(zhǔn)與第三方研究白皮書進(jìn)行核驗(yàn)。以NIST在2020年頒布的零信任架構(gòu)文件為例，其定義了零信任的關(guān)鍵目的是防止未經(jīng)授權(quán)的人訪問數(shù)據(jù)和服務(wù)，另外對訪問控制的實(shí)施提出了精細(xì)化的參考指標(biāo)。如果安全產(chǎn)品與該文件中的指標(biāo)要求保持一致，那么可以認(rèn)為該產(chǎn)品有助于幫助企業(yè)實(shí)現(xiàn)零信任安全。

　　零信任安全的建設(shè)挑戰(zhàn)

　　事實(shí)上，當(dāng)零信任的用戶教育和市場宣傳告一段落后，企業(yè)用戶真正關(guān)注的是零信任安全如何從概念到落地的問題。對于大多數(shù)企業(yè)來說，開啟零信任安全建設(shè)會(huì)面臨諸多挑戰(zhàn)：

　　挑戰(zhàn)1、碎片化的零信任措施

　　大多數(shù)公司會(huì)采用碎片化的方式部署零信任措施，這可能會(huì)降低零信任的安全防護(hù)能力，從而出現(xiàn)防護(hù)效果不理想的現(xiàn)象。與此同時(shí)，因?qū)嵤┝阈湃未胧┒艞墏鹘y(tǒng)安全產(chǎn)品，也可能會(huì)引發(fā)意想不到的安全風(fēng)險(xiǎn)。因此，零信任部署需要復(fù)雜的產(chǎn)品體系相互聯(lián)動(dòng)配合才能成功。

　　挑戰(zhàn)2、遺留系統(tǒng)無法適應(yīng)零信任

　　在部署零信任措施對遺留系統(tǒng)與應(yīng)用程序進(jìn)行改造時(shí)，大多數(shù)情況下會(huì)難以兼顧它們的邊界屬性，如果這些系統(tǒng)需要保留在原位，那么就可能會(huì)產(chǎn)生新的安全漏洞或需要部署新的安全措施來保護(hù)它們，這需要耗費(fèi)大量的資金與時(shí)間。

　　挑戰(zhàn)3、持續(xù)的管理和維護(hù)

　　零信任網(wǎng)絡(luò)安全模式需要持續(xù)的管理與維護(hù)，可能需要額外的員工或使用托管服務(wù)。零信任部署依賴于由一個(gè)嚴(yán)格定義的權(quán)限組成的龐大網(wǎng)絡(luò)，但企業(yè)是在不斷發(fā)展的，員工的具體情況是實(shí)時(shí)變換的，這需要每次的訪問控制都必須更新，以確保正確的人員可以訪問特定信息。保持權(quán)限的準(zhǔn)確性和最新需要持續(xù)的輸入是非常難以實(shí)現(xiàn)的。

　　挑戰(zhàn)4、對業(yè)務(wù)產(chǎn)生影響

　　零信任部署可能會(huì)影響生產(chǎn)力。當(dāng)員工身份發(fā)生變更而未及時(shí)更新，將會(huì)導(dǎo)致員工訪問權(quán)限被鎖定，無法訪問所需數(shù)據(jù)，這會(huì)直接影響工作效率，甚至產(chǎn)生比網(wǎng)絡(luò)安全本身更大的問題。零信任需要跨各種數(shù)據(jù)、設(shè)備、系統(tǒng)和人員進(jìn)行通信，其中任何一環(huán)產(chǎn)生問題都將直接生產(chǎn)力。

　　挑戰(zhàn)5、零信任并非沒有風(fēng)險(xiǎn)

　　雖然零信任的目標(biāo)是提高安全性，但它也不能免受風(fēng)險(xiǎn)的影響。Gartner認(rèn)為零信任存在如下潛在安全風(fēng)險(xiǎn)：

　　信任代理是潛在的故障點(diǎn)，可能成為攻擊的目標(biāo)；

　　本地計(jì)算機(jī)設(shè)備和應(yīng)用系統(tǒng)也會(huì)受到攻擊；

　　用戶賬戶仍然可能被泄露；

　　零信任管理員帳戶及權(quán)限或成為重點(diǎn)攻擊目標(biāo)。

　　如何應(yīng)對零信任挑戰(zhàn)？

　　構(gòu)建零信任安全并不容易，但它已成為安全技術(shù)未來發(fā)展的主流方向之一。對于許多企業(yè)來說，零信任的建設(shè)需要全面改變架構(gòu)、流程和安全意識，這不是一蹴而就的改變，而是一個(gè)循序漸進(jìn)的過程。企業(yè)在建立高效、安全的零信任體系時(shí)，需要做好以下準(zhǔn)備。

　　1、充分進(jìn)行零信任測試

　　在將零信任方案投入生產(chǎn)環(huán)境之前，需要對其進(jìn)行充分的測試和安全評估。這不僅可以為用戶使用這些類型的系統(tǒng)提供經(jīng)驗(yàn)，還可以幫助管理員以及安全團(tuán)隊(duì)掌握響應(yīng)事件和處理安全問題的經(jīng)驗(yàn)，以改進(jìn)未來的實(shí)施。

　　2、提前考慮業(yè)務(wù)需求和用戶體驗(yàn)

　　有效實(shí)施零信任模式需從業(yè)務(wù)需求入手。詢問要保護(hù)什么資產(chǎn)、為何保護(hù)，來確定哪些方面采用零信任技術(shù)能更有效提高安全能力，這最終將支持企業(yè)的零信任戰(zhàn)略。

　　安全和用戶體驗(yàn)常常相沖突，但是不一定非得這樣。在敲定零信任安全流程、制定策略和明確需求之前，考慮用戶活動(dòng)范圍變化和體驗(yàn)。推出零信任新模式后，要考慮如何傳達(dá)體驗(yàn)方面的優(yōu)勢（比如無密碼單點(diǎn)登錄），而不是一味關(guān)注安全方面的優(yōu)勢。

　　3、合理規(guī)劃建設(shè)預(yù)期

　　大多數(shù)供應(yīng)商都聲稱可提供完整的零信任安全解決方案，但事實(shí)上沒有哪款產(chǎn)品能做到。零信任是一種理念，企業(yè)需要明確驗(yàn)證身份、位置、設(shè)備運(yùn)行狀況、服務(wù)及/或工作負(fù)載，旨在出現(xiàn)違規(guī)行為時(shí)盡量減小影響、劃分訪問范圍。成功的零信任安全項(xiàng)目大都從身份管理、多因子身份驗(yàn)證和最低權(quán)限訪問等角度入手，逐步建設(shè)完善。

　　4、建立零信任文化

　　如果使用零信任安全以后，企業(yè)員工的安全意識卻沒有同步提升，這項(xiàng)技術(shù)的應(yīng)用效果將難以充分發(fā)揮。將企業(yè)的安全防護(hù)與員工安全意識實(shí)現(xiàn)掛鉤，對于提高零信任應(yīng)用效率至關(guān)重要。公司必須注重培養(yǎng)一種倡導(dǎo)透明、信任和開放溝通的企業(yè)文化，輔以持續(xù)培訓(xùn)和相應(yīng)技術(shù)手段，才可以有效提升員工的安全意識，全面防御所有攻擊面。

　　5、持續(xù)關(guān)注零信任技術(shù)的發(fā)展

　　遷移到零信任需要慎重規(guī)劃，盡早定義需要保護(hù)的關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施很重要?，F(xiàn)有系統(tǒng)和零信任環(huán)境需要時(shí)間磨合才能共存，且對于大多數(shù)企業(yè)來說，不會(huì)是一次性升級。目前零信任技術(shù)仍在快速成長，持續(xù)了解零信任技術(shù)和解決方案的發(fā)展對于長期保護(hù)投資很重要。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<