隨著企業(yè)數(shù)字化轉(zhuǎn)型的發(fā)展�����,零信任安全模型和理念已被企業(yè)組織的CISO們廣泛接受�����,但是實(shí)現(xiàn)它的過(guò)程卻并不容易���,尤其是對(duì)一些中小型企業(yè)組織��,零信任項(xiàng)目落地失敗的案例已經(jīng)屢見(jiàn)不鮮����。對(duì)于企業(yè)而言�,現(xiàn)在的問(wèn)題不在于是否應(yīng)用零信任技術(shù),而是如何避免其中的陷阱和失敗�。日前,科技媒體ITPro梳理總結(jié)了導(dǎo)致零信任項(xiàng)目建設(shè)失敗的5個(gè)常見(jiàn)因素�,希望能夠幫助企業(yè)在開(kāi)啟零信任應(yīng)用之旅時(shí)少走彎路。
(資料圖)
01缺乏對(duì)終端設(shè)備的全面管理
目前���,遠(yuǎn)程化、移動(dòng)化已成為企業(yè)辦公模式的新常態(tài)���,這也擴(kuò)大了企業(yè)數(shù)字化系統(tǒng)的攻擊面�����,每一個(gè)連接到網(wǎng)絡(luò)的終端設(shè)備都可能含有潛在的漏洞,特別是那些位于傳統(tǒng)網(wǎng)絡(luò)之外的設(shè)備�,比如打印機(jī)、安全攝像頭及其他物聯(lián)網(wǎng)設(shè)備��。很多組織在建設(shè)應(yīng)用零信任時(shí)��,并沒(méi)有對(duì)所有的終端設(shè)備進(jìn)行全面的審計(jì)�,也沒(méi)有為不同類(lèi)型設(shè)備制定專(zhuān)門(mén)的保護(hù)策略����,所以無(wú)法確保每個(gè)設(shè)備根據(jù)防護(hù)需要定期更新�����。
Gartner 研究人員認(rèn)為,企業(yè)在應(yīng)用零信任方案時(shí)�����,需要充分評(píng)估方案對(duì)異構(gòu)終端的統(tǒng)一管理能力�����。強(qiáng)有力的終端安全防護(hù)將為企業(yè)零信任架構(gòu)的落地打好基礎(chǔ)���。同時(shí),零信任建設(shè)并不是對(duì)傳統(tǒng)安全技術(shù)的拋棄�����,而是一種新的替換或者組合��。企業(yè)在開(kāi)展零信任項(xiàng)目建設(shè)時(shí)��,應(yīng)該將現(xiàn)有的NAC��、EPP�、EDR�、DLP、IAM等安全能力整合到新的架構(gòu)��,實(shí)現(xiàn)傳統(tǒng)安全能力與零信任的無(wú)縫融合����。
02急于求成����,實(shí)施過(guò)快
零信任建設(shè)不是一蹴而就的工作,而是一種需要不斷優(yōu)化發(fā)展的創(chuàng)新安全理念����,也是一個(gè)持續(xù)性的過(guò)程。實(shí)施零信任的前提是需要對(duì)網(wǎng)絡(luò)上的所有資產(chǎn)進(jìn)行測(cè)繪和發(fā)現(xiàn)�����,并在此基礎(chǔ)上識(shí)別技術(shù)和人員等方面的安全漏洞��,這樣才能清楚如何最有效地堵住漏洞�。而且,資產(chǎn)梳理和發(fā)現(xiàn)的工作應(yīng)該在確保日常工作不受干擾的情況下進(jìn)行���。
企業(yè)在開(kāi)展零信任安全建設(shè)時(shí),需要對(duì)傳統(tǒng)安全防護(hù)技術(shù)以及運(yùn)營(yíng)流程進(jìn)行重大改變�,此時(shí)如果步子邁得過(guò)大,會(huì)非常容易出錯(cuò)���。零信任建設(shè)的一個(gè)基本要求是要確保所有軟硬件都是最新版本��、打上補(bǔ)丁,而確保對(duì)每個(gè)軟硬件都已摸清底細(xì)并能夠隨時(shí)優(yōu)化安全需要花費(fèi)一定的時(shí)間�����。因此����,零信任建設(shè)需要一開(kāi)始就分配足夠的時(shí)間來(lái)管理一切,并制定流程����,以確保對(duì)所有的系統(tǒng)和應(yīng)用都能夠有效管理和覆蓋。
03忽視最低特權(quán)訪問(wèn)原則
零信任安全是風(fēng)險(xiǎn)和信任之間的平衡狀態(tài)�,對(duì)于不同的風(fēng)險(xiǎn)級(jí)別��,授予不同信任程度��,分配不同的權(quán)限�����。在零信任架構(gòu)中�����,沒(méi)有絕對(duì)的可信或不可信����。因此����,零信任項(xiàng)目建設(shè)有一個(gè)不得不提的特定原則——最小化授權(quán)訪問(wèn)��,要確保所有類(lèi)型的用戶(hù)僅擁有執(zhí)行工作所需的最低權(quán)限級(jí)別這一策略。其目的是嚴(yán)格控制對(duì)資源的訪問(wèn)���,防止系統(tǒng)中出現(xiàn)可被非法利用的特權(quán)用戶(hù)賬號(hào)�����。
然而對(duì)于一些特權(quán)賬號(hào)用戶(hù)而言,最小化授權(quán)可能很難做到�,尤其在多云環(huán)境下,數(shù)據(jù)和應(yīng)用程序往往由不同的服務(wù)商托管運(yùn)營(yíng)�����,每家提供商都有不同的策略和安全規(guī)程�����,這就意味著內(nèi)部團(tuán)隊(duì)難免會(huì)分配過(guò)高的特權(quán)���。安全專(zhuān)家建議企業(yè)使用授權(quán)管理或云基礎(chǔ)設(shè)施授權(quán)管理這類(lèi)軟件,集中管理對(duì)多個(gè)軟件���、系統(tǒng)��、設(shè)備和云平臺(tái)的授權(quán)訪問(wèn)�����。
04未得到所有用戶(hù)的廣泛認(rèn)同與支持
如果零信任安全建設(shè)完成以后����,企業(yè)員工的安全意識(shí)卻沒(méi)有同步提升��,這項(xiàng)技術(shù)的應(yīng)用效果將難以充分發(fā)揮����。企業(yè)應(yīng)該向所有用戶(hù)展示新的規(guī)程�、要求和流程。而很多失敗的零信任案例表明�,一些利益相關(guān)者將零信任項(xiàng)目視為便捷開(kāi)展數(shù)字化業(yè)務(wù)的障礙���,并引發(fā)了大量的不滿(mǎn)情緒�,這樣無(wú)疑會(huì)助長(zhǎng)違規(guī)現(xiàn)象�。那些試圖規(guī)避零信任安全制度的用戶(hù)將給項(xiàng)目成功應(yīng)用帶來(lái)風(fēng)險(xiǎn)。
因此���,企業(yè)要向每一個(gè)用戶(hù)清楚地講明零信任項(xiàng)目的背景和目標(biāo)��,讓他們可以真正理解為什么某些監(jiān)控行為是必需的��。安全團(tuán)隊(duì)也要在整個(gè)組織范圍中打造積極的“零信任安全文化”�����,讓項(xiàng)目建設(shè)得到公司管理層���、業(yè)務(wù)部門(mén)和所有相關(guān)用戶(hù)的支持����。
05以通用的方案開(kāi)展零信任建設(shè)
大多數(shù)供應(yīng)商都聲稱(chēng)可提供完整的零信任安全解決方案���,但事實(shí)上沒(méi)有哪款產(chǎn)品能做到。每家企業(yè)的零信任應(yīng)用需求都不一樣:技術(shù)環(huán)境會(huì)不一樣��,使用技術(shù)的方式不一樣����,工作地點(diǎn)的分布也不一樣。因此���,任何一家組織的零信任實(shí)施方案都不相同�。如果不能清晰了解自身的零信任建設(shè)需求,并以此開(kāi)展建設(shè)��,零信任項(xiàng)目自然難以取得成功���。
零信任是一種理念,成功的零信任安全項(xiàng)目大都從身份管理��、多因子身份驗(yàn)證和最低權(quán)限訪問(wèn)等角度入手����,逐步建設(shè)完善����。目前零信任技術(shù)仍在快速發(fā)展完善�����,持續(xù)了解零信任技術(shù)和解決方案的特點(diǎn)對(duì)于長(zhǎng)期保護(hù)建設(shè)投資也很重要���。
