零信任的到來意味著什么?
根據2022 年 IBM 數據泄露成本報告顯示,超過 80% 的組織曾發生過不止一次的數據泄露事件。到2022 年數據泄露平均損失成本達 435 萬美元,創歷史新高,比過去兩年增長了 12.7%。
過去,企業僅專注于保護邊界和端點。調查顯示,轉向零信任的企業減少了 20.5% 的數據泄露成本損失。零信任安全,也稱為零信任網絡或零信任架構,其有一個基本原則:從不信任,始終驗證。美國國家標準與技術研究院 (NIST)將零信任安全定義為“一組不斷發展的網絡安全范式,將防御從靜態的、基于網絡的邊界轉移到關注用戶、資產和資源的領域”。
研究估計,零信任市場將從 2022 年的 274 億美元增長到 2027 年的 607 億美元,2022 年至 2027 年的復合年增長率 (CAGR) 為 17.3%。
為什么我們需要零信任?今天的安全有什么問題?
傳統的企業安全模型基于一個錯誤的前提:將黑客拒之門外。企業投入了大量的時間和精力用下一代防火墻來加強邊界,確保虛擬專用網訪問使用多因素身份驗證,并不斷搜尋內部網絡的威脅。然而,我們還是每天都能看到有組織遭到黑客攻擊或成為勒索軟件受害者的新聞報道。
為什么會這樣?簡單地說,進入網絡的方式太多了。黑客不僅僅依賴配置錯誤的設備或零日漏洞進入,他們還很容易通過網絡釣魚,甚至是賄賂員工或承包商讓后門保持打開狀態。
傳統的網絡安全方法是將網絡分成越來越小的網絡或網段,可以在網段之間插入安全控制。這使實施細化策略或更改策略變得非常困難。另一種方法是為每個應用程序創建VLAN,然而在實踐發現中,除了敏感資產之外,其他的很難顧及……
此外,現代企業應用程序的運行環境日益復雜,應用程序和數據逐漸從傳統的企業邊界轉移到公共云。防火墻、虛擬專用網和 VLAN已有幾十年的歷史,它們是為簡單的時代而構建,難以支撐當今企業的復雜和動態需求。
我們以工廠環境中云和資源之間的連接為例。允許云服務器連接到工廠車間機器的策略,由路徑上多達 6-12 個不同的路由器、交換機和防火墻控制,而每個路由器、交換機和防火墻可能由不同的團隊管理。
零信任通過將分布式策略重新定義為“誰可以訪問什么內容”,極大地簡化了該問題。對于上面的示例,零信任架構可以顯著簡化跨界連接,只需檢查一個地方來配置策略和驗證訪問。
零信任架構的原則是什么?
- 持續監控和驗證:零信任網絡假設攻擊者不僅存在于組織外部,還存在于內部,這就是為什么沒有用戶或設備會被自動信任的原因。零信任網絡安全框架會持續監視和驗證用戶身份和權限,以及設備的身份和安全性。
- 最小權限訪問:零信任的第二個原則是最小權限訪問,它給予用戶有限的訪問權限,這減少了網絡敏感部分暴露給未知用戶的風險。
- 設備訪問控制:在限制用戶訪問的情況下,零信任要求嚴格的設備訪問控制,以檢測試圖訪問其網絡的設備數量,并確保設備獲得授權,以最大程度地降低安全漏洞的風險。
- 微分段:微分段將安全邊界分割為微小的區域,以保持對網絡不同段的單獨訪問。零信任規定,有權訪問其中一個段的用戶或程序,在沒有個人授權的情況下將無法訪問其他段。
- 多因素身份驗證 (MFA) :MFA需要多個證據來驗證用戶,僅輸入密碼是不夠的,用戶還必須輸入發送到其注冊設備的代碼獲得授權。
SASE 如何與零信任相結合?兩者又有什么異同?
與其他安全架構相似,SASE的目標也是為了保護用戶、應用以及數據等。
根據Gartner的定義,SASE(安全訪問服務邊緣)是一種新興的服務,它將廣域網與網絡安全(如:SWG、CASB、FWaaS、ZTNA)結合起來,從而滿足數字化企業的動態安全訪問需求。SASE 是一種基于實體的身份、實時上下文、企業安全/合規策略,以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組(分支辦公室)、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。
SASE可以提供多種網絡與安全能力,包括軟件定義廣域網(SD-WAN), Web安全網關(SWG), 云訪問安全代理(CASB), 零信任網絡訪問(ZTNA)以及防火墻即服務(FWaaS)等核心能力。
零信任是一種安全理念,它并未聚焦在某些特定安全技術或者產品,其核心思想強調消除訪問控制中的“隱式信任”。 SASE明確描述了幾種網絡和安全技術,其建立在零信任原則的基礎上,零信任是SASE的關鍵基石。SASE的核心組件為實現零信任原則“從不信任、始終驗證”提供了技術支撐。
所有的零信任解決方案都一樣嗎?
隨著企業對零信任的興趣增加,許多網絡安全供應商將現有的解決方案重新命名為零信任,但這只是一部分,還有其他的解決方案,如軟件定義邊界 (SDP),它充當了邊界的“大門”。
此外,由于零信任架構還沒有行業標準,實施方式多種多樣,因此建議采用零信任策略的客戶評估以下因素:
- 零信任愿景的完整性
- 該解決方案適用于哪些類型的網絡連接(僅限 Web 應用程序?SSH?任何 TCP/UDP 流量?)
- 解決方案是否與分段控件原生集成
- 易于實施端到端的策略管理
- 該解決方案是否需要基礎架構升級才能在本地和云環境中有效?
