趨勢分析 | 零信任實踐之關鍵技術解讀

SmartX超融合發表於2022-12-10

SmartX 趨勢分享
SmartX 趨勢分享由 SmartX 團隊內部分享的權威機構市場報告、全球重要媒體文章精選整理而成。內容涉及現代資料中心相關產業趨勢以及金融、醫療、製造等行業全球使用者需求與實踐前沿洞察。本期,我們分享一篇 Gartner 關於零信任實踐策略的文章[1],幫助企業選擇合適的技術與方案,提升網路安全水平。

安全和風險管理領導者必須要跳脫出廠商關於“零信任”的大肆宣傳,透過實施兩項關鍵技術,以最低許可權訪問和自適應安全降低風險

Gartner 客戶調查結果顯示,大多數企業都處於零信任策略制定階段。然而,供應商進行市場營銷時經常過度宣傳“零信任”這一概念,並將其簡化為“新的和改進的”安全策略。許多安全領導者也將零信任視為網路安全的靈丹妙藥。但零信任並沒有涵蓋網路釣魚和敏感資料保護等威脅和安全問題的處理。同時由於傳統應用、企業阻力、管理細粒度安全控制的複雜性和其他因素等限制,零信任的安全態勢可能永遠無法得到完全的實現。

然而,“零信任”這一概念作為一種網路安全的正規化簡化具有重要意義,即要求所有計算基礎設施都要移除隱形信任,由顯式計算和實時自適應的信任級別取而代之,以便在恰好的時間對企業資源進行恰量的訪問。

對於想要真正實現零信任的企業,我們建議企業關注兩個主要的技術專案(參見圖 1)。

圖 1

由於傳統網路安全模型存在過多的隱性信任,大多數零信任策略始於與網路相關的專案計劃。零信任網路專案計劃實施可分為兩個領域:

  1. 聚焦於“使用者到應用”分段的前端網路訪問( ZTNA – Zero Trust Network Access
  2. 聚焦於“工作負載到工作負載”分段的後端網路訪問( 基於身份的分段 / Identity-Based Segmentation

不過在啟動這些專案之前,企業必須先建立好切實的身份管理基礎。

聯合身份系統(Federated Identity Systems)

零信任需要安全、通用的聯合身份管理系統。對於大型組織而言,使用者和機器身份不太可能只有單一可信源。安全和風險管理領導者應當:

  • 記錄現有聯合關係。
  • 確定使用者身份的可信源,包括第三方身份的來源。
  • 制定並定義需要更強身份驗證(MFA、CAC 卡、PIN 等)的策略。
  • 開發標準化方法(例如證書),確定給定裝置是託管裝置還是非託管裝置。
  • 對於工作負載,定義如何建立機器和應用身份。
  • 構建用於規模化容器和 Kubernetes 環境中的機器身份管理方法。

自適應訪問控制(Adaptive Access Controls)

自適應訪問將裝置安全狀態和位置等環境因素納入考量,以實現更精細的資源訪問控制。安全和風險管理領導者應當:

  • 要求所有遠端訪問和 SaaS 應用訪問都需要更強的身份驗證。
  • 強制所有 SaaS 應用,例如雲 SSO(Single Sign On)或 CASB(Cloud Access Security Broker),執行基於環境的身份准入。
  • 將裝置安全狀態評估納入訪問控制決策中。
  • 將自適應訪問控制與聯合身份系統整合部署,以控制本地和雲中的訪問。

落實身份管理系統並具備足夠的基礎後,企業需關注到以下技術專案和關鍵問題:

“使用者到應用”間的分段(ZTNA)

ZTNA 減少了員工、承包商和其他第三方對主要從遠端位置訪問資源的過度隱性信任。企業應先進行 ZTNA 產品試點,先針對承包商和第三方進行 ZTNA 試執行,然後進行概念驗證(POC),用 ZTNA 產品測試應用,並使用觀察模式學習使用者和角色的訪問模式,在此過程中構建訪問規則。

安全和風險管理領導者應當:

  • 盤點允許訪問網路的所有 VPN 例項,並按一定週期更新准入列表。
  • 確定 DMZ 中具有指定使用者組的應用和伺服器,並按一定週期更新准入列表。
  • 使非託管裝置的訪問成為 ZTNA 架構的強制執行部分。
  • 測試 ZTNA 解決方案與傳統應用的相容性。
  • 定義用於組合使用者屬性和服務的訪問規則,強制規定哪些訪問者可以訪問哪些物件。
  • 確定是否需要本地規則管理和規則控制器。

“工作負載到工作負載”間的分段(基於身份的分段)

透過允許企業將單個工作負載設定為在通訊時採用預設的拒絕模型(而非隱式的允許模型),基於身份的分段減少了過度的隱性信任

企業應先對 campus 和伺服器網路實施更概要的網路分段,以減少過多的信任區。與 ZTNA 一樣,為了制定規則,觀察模式對於瞭解工作負載和應用間的通訊模式是必要的。然後,企業應針對工作負載的機器身份管理技術(如 SPIFFE, OpenID Connect 和 SAML 等)進行評估,以支援細粒度分段。當開始實施基於身份的分段策略時,先從一小部分關鍵資產開始進行嘗試,然後再擴充套件到其他資產。

安全和風險管理領導者應當:

  • 制定策略,共同管理本地部署、混合部署、虛擬化和容器等環境中的異構工作負載。
  • 確定需要使用代理以外的方式(如基於網路或基於 API 編排)進行分段的工作負載。

[1]文章來源:What Are Practical Projects for Implementing Zero Trust?,Neil MacDonald,Gartner,2022.

點選下載網路與安全白皮書,瞭解 SMTX OS 如何透過微分段(基於身份的分段)構建零信任安全。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69974533/viewspace-2927615/,如需轉載,請註明出處,否則將追究法律責任。

相關文章