澄清對零信任安全的5大誤區
不只是“信任但要驗證”,零信任模型應該假設威脅者會開展發起威脅活動——即使他們還沒有。目前有一些對零信任的誤解阻礙了其發展。
多年來,主流的安全信條是“信任但要驗證”。然而,這種觀念已不足以應對當今無邊界、全球化、移動化、基于云的威脅環境。
據Gartner預計,在2019年組織機構將投入1370億美元在IT安全和風險管理上,因為2018年66%的企業都經歷過安全漏洞。你可能會想安全投資這么大,我們應該會比壞人領先幾步,但現狀是幾乎每周都會有備受矚目的網絡威脅新聞出現。
零信任安全是對陳舊安全策略的一劑良藥,因為它要求組織機構永遠不要信任并始終進行驗證。每個企業必須認識到威脅者存在于網絡內外,并且基于邊界的安全無法再防御基于身份和基于證書的侵入。而身份和證書是當今主要的威脅媒介。現在的解決方案是通過僅在適當的時候授予足夠的權限,將信任完全移除。
然而,目前有一些對零信任的誤解阻礙了其發展。讓我們看一下5大誤區,并澄清事實。
誤區1:零信任安全之路始于數據完整性
請放心,加密敏感數據并確保其完整性仍然是理想做法。 沒有人否認這一點。但是如果威脅者已經獲得了訪問權限(包括解密密鑰),那么還能如何限制威脅者竊取數據呢?
Forrester估計80%的數據泄露事件都是由于特權證書濫用造成的。與個人賬戶相比,特權證書為竊取數據提供了更大的平臺,所以只要一個受損的證書就可以影響數百萬人并造成大巨大的損失。這也就不意外Gartner建議將特權訪問管理(PAM)置于任何安全項目列表的第一位了。
在組織開始實施以保護身份為中心的安全措施之前,賬戶威脅將持續為數據泄露提供完美的偽裝。因此,零信任之路應該始終從保護身份開始。
誤區2:零信任只適用于大型組織機構
谷歌是很早采用零信任模式的公司之一。因此很多人仍然認為該模型只適用于大型組織機構。但實際情況是,沒有公司在面對網絡威脅是安全的。事實上,根據“2018年Verizon數據泄露調查報告”,61%的數據泄露事件影響到了小型企業。
好消息是零信任安全不會讓你傾家蕩產。企業規模和預算不應該成為阻礙,因為即使是很小的企業也可以通過成本效益高、循序漸進的方法開始零信任工作。例如,很多組織機構通過使用密碼庫或多因素身份驗證等容易實現的功能,顯著提高了其安全性。每年在每個系統上花費幾百美元是非常值得的,可以避免潛在數百萬美元的罰款、處罰或品牌損失。
誤區3:我需要完全替換整個網絡安全環境
谷歌在第一次建立其零信任安全架構時,的確決定從頭開始建立整個安全網絡。但對于大部分組織機構來說,情況并非如此。
零信任可以簡單的通過增強環境中已有的安全控制開始。例如,你可以從部署“MFA無處不在”方案開始,這種方案并不復雜并能夠帶來巨大的價值。這第一步非常有助于建立身份保障并能夠顯著減少威脅層面,為你的組織機構走向零信任之路打下堅實的基礎。
誤區4:零信任僅限于本地部署
很多組織機構認為零信任只適用于本地工作,而不能應用到公有云上。當敏感信息存儲在傳統網絡外部時,這將成為一個問題。
事實上零信任可以輕松擴展到云環境中,而且隨著各行各業轉向混合,多云環境,這一點變得越來越重要。此外,零信任不僅包括基礎設施,數據庫和網絡設備,還應該擴展到其他威脅層面,這些層面正日益成為現代組織機構發展的戰略要求,包括大數據,DevOps和容器等。
誤區5:零信任的唯一好處是它能將我面臨的風險降低
減少風險顯然是零信任帶來的主要益處,但是絕對不是唯一的好處。
Forrester總結道零信任可以將一個組織機構面臨的風險降低37%甚至更多。但是他們也發現部署零信任的組織機構可以減少31%的安全支出,在整體IT安全預算中節省數百萬美元。
零信任還可以帶來更大的商業信心。Forrester研究發現部署零信任的組織機構對采用移動工作模型的信心高出66%,保護DevOps環境的信心高出44%。因此他們能夠更有信心和保障加速使用新的商業模型,帶來新的用戶體驗。
重要的是,今天的安全工作并不安全。零信任模型不只是“信任但要驗證”,一個零信任模型假設威脅者會發起進攻——即使他們還沒有。采用了零信任,你可以減少威脅層面,提高審計和合規的可見性,并降低復雜性和成本。
零信任是現代混合型企業實現安全的根本方法。記住:永遠不要信任。始終進行驗證。
這些才不是誤區。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
