零信赖面临的一些疑问包含许多实践的和认知方面阻碍,以及须要细心协调才干成功承诺的一系列复杂产品。其结果是:零信赖不会很快成为处置日益严重的网络安保疑问的灵丹妙药。
零信赖最早是由John Kindervag在2010年负责ForresterResearch公司剖析师时提出的。它的上班形式是,企业必定确保网络上的每个文件恳求、数据库查问或其余操作都来自具备正确权限的用户。新设备必定在访问每个网络运行程序之行启动注册和验证,并且每个试图登录的用户都被以为是恶意的,除非获取证实可信。假设操作切当,它承诺将用户从更干流的网络安保方法的许多限度中束缚进去,提高安保进攻才干。
自从Kindervag提出这个想法以来,他创立了一家治理服务公司,该公司提供了他创立的数十种处置方案之一。如今,简直一切关键的安保提供商都有一种服务或产品将零信赖作为其产品称号的一局部,思科系统股份有限公司等一些公司最近也颁布了新产品通告,将其定位在零信赖畛域。
但在通常中,虽然推出这些产品,零信赖处置方案在很大水平上依然是不完整的,在某些状况下甚至没有经常使用。Gartner公司剖析师JohnWatts在该公司去年12月的年度预测备忘录中写道,“在零信赖的状况下从通常转向通常是一项应战,目前只要不到1%的大型企业真正在经常使用它。”
此外,Watts预测,“到2025年,60%以上的企业将把零信赖作为安保的终点,但超越一半的企业将无法看法到其好处。”与此同时,麻省理工学院林肯试验室的NathanParde在去年5月宣布的一份报告中预计,典型的零信赖部署将须要三到五年的期间。当然,这是一个令人丧气的信息。
这些结果与其余供应商的考查结果天壤之别。Okta公司的《2022年8月零信赖安保状况》报举报现,在接受考查的700家企业中,简直一切企业都曾经启动了零信赖方案,或许有在未来几个月启动零信赖建议的明白方案。
但这些结果多少有一些误导。首先,从开局到成功零信赖的推出或许须要数年期间。其次,说和做是一模一样的两件事,而在这项考查中也标明有一些是零信赖的有效口头者。
网络安保的简史
隔离网络基础设备以更好地包全各种资源的想法始于20世纪90年代中期出现的第一批网络防火墙和虚构公用网络(VPN)。早在2008年,DarkReading公司就对许多可以被称为防火墙发明者的作者启动了钻研。大少数剖析人士会说,最早将防火墙商业化的是CheckPoint软件技术有限公司,该公司至今仍在开售防火墙。至于环球第一个VPN协定,大少数人都以为是由微软公司在1996年创立的,而后在本世纪初开局盛行,思科、瞻博网络和其余公司仍在发售网络防火墙和VPN。
防火墙和VPN的作用是经过制订各种战略来隔离网络:来自外部营销数据库的网络流量将被准许进入这局部网络,而来自外部人事数据库的网络流量则不准许。或许准许来自外部网络的查问访问企业的web主机,但不准许访问其余任何数据。如何构建这些战略是这两款产品的秘密,网络安保专家经过培训和通常才干弄分明这一切。
在那个网络边界严厉且定义明白的时代,这没什么疑问。但随着网络运行程序扩散在网络上,边界不再是一个可行的想法,也无法能强迫口头。随着企业经常使用更复杂的软件供应链,它们变得依赖于那些运行程序编程接口,并且对各种软件和组件如何组合在一同了解较少。
网络攻打者知道他们最终可以找到进入网络的方法。VPN和防火墙成为新的安保隐患,尤其是随着越来越多不受信赖的远程设备曾经参与企业网络。
进入零信赖
这就是Kindervag提出零信赖理念的由来。Kindervag示意,不能置信赖何人或任何运行程序,必定审查每次互动,这是一些安保专业人士所说的“最低特权”。它开启了一个自顺应身份验证的时代,用户和运行程序最后并没有取得100%的访问权限,但企业会依据详细状况逐渐同意。
例如,假设人们向银行查问余额,必定证实自己领有非法的账户。假构想转移资金,则必定做更多的事件,假构想把资金转移到一个新的海外账户,还必定做更多的事件。
如今的零信赖发明了“信赖经纪人”的概念,即买卖双方都信赖的调停人或中立的第三方。设置这些机制并不容易,特意是在双方不必定间接了解或信赖对方的状况下,特意是在不同的状况、运行程序和用户类型须要不同代理的状况下。
这种复杂性就是当今的零信赖成功所处的位置。OpenText公司旗下的NetIQ公司在其“企业零信赖形态”报告中说,“当少量数据和上班负载如今生存在传统网络之外时,将企业系统、运行程序和数据放在一个位置,并依托多层安保工具和控制来将攻打者拒之门外曾经不够了。零信赖不是一个繁多的软件,而是一个战略框架。”将其可视化的一种方法是Gartner公司如何将其架构图显示为一系列相互衔接的局部,例如处置用户身份、要挟情报和运行程序。
人们须要了解“战略”和“框架”,以及它们对零信赖成功的意义。“战略”象征着,在任何牢靠的网络安保方案的**,都须要尽或许地成功零信赖。这正是美国总统拜登在两年前颁布的《改善国度网络安保行政命令》所试图推进的指标,其指标是让美国政府机构实施零信赖安保。
虽然这是值得美化的,但仍远未成功。即使是驳回行政命令也无法经过法则成功零信赖,虽然最近,美国联邦机构原告知要敞开对VPN和路由器等各种网络设备的互联网访问,这对任何信息技术治理者来说都应该是显而易见的。
去年颁布在《安保周刊》的一篇文章指出,“保障零信赖的惟一方法就是妇孺皆知的拔掉电脑的插头,把它包裹在六英尺厚的混凝土里,而后把它扔进深海。”但这阻碍了可用性。因此,其窍门在于从这种极其和无法行的位置转向能够提供安保性和业务利益并且实践上也有用的物品。这就是框架局部须要思索的中央。
身份验证提供商Nok Nok Labs公司的首席口头官PhilDunkelberger示意,“成功零信赖框架没有对错之分,但它基本上是一个很好的结构。细节选择成败,由于没有一刀切的用户和用例,因此很难部署。”
他的观念是,在制订零信赖实施方案时,IT和安保治理人员提出了失误的疑问。他说:“零信赖能带来更好的业务成绩吗?咱们会有更安保的运行程序,或许提高这些基础设备投资的报答吗?”
从新思索信赖
兴许很多人对零信赖的了解是失误的。信赖用户或运行程序须要一个延续的环节,就像自顺应身份验证一样。企业开局时要采取一些步骤来成功齐全信赖,每次提供一点。从全有或全无的形式来看,这种形式更适宜当今环球。
零信赖概念化的一种方法是思索驳回微分段来隔离运行程序,实质上是将防火墙形象到特定的上班负载和用户。Gartner公司的Watts示意,这象征着“首先实施零信赖,改善最关键资产的危险缓解,由于这将发生最大的危险缓解报答。”
Gartner公司经常使用了五个思索因历来定义零信赖:交付平台是什么,如何安保地成功远程上班,如何治理各种信赖战略,如何包全任何中央的数据,以及与第三方产品的集成状况。关于一个框架或一系列产品来说,这都是须要成功的许多接触点。
Watts在他的预测报告中说:“零信赖可以作为一种思想形式、范式、战略或特定架构和技术的实施。”他提出了一些建议,以协助企业更成功地实施,包含在名目开局时定义零信赖控制的适当范围和复杂水平,限度对设备和运行程序的访问,以及运行继续的基于危险的访问战略。
他说:“从基本上说,零信赖象征着消弭构成许多安保方案基础的隐性信赖(以及信赖的代理),树立基于身份和场景的信赖。这须要扭转安保程序和控制指标的设置形式,尤其是扭转对访问级别的希冀。”
亚马逊网络服务公司(AWS)最近在加利福尼亚州阿纳海姆举行的re:Inforce会议展现了这将如何运作的例子。AWS公司网络防火墙总经理JessSzmajda展现了现有的零信赖服务(例如验证访问和VPCLattice)将如何与一系列新的零信赖服务协同上班,从而使AWS愈加安保。它们包含经过验证的权限和GuardDuty要挟监控工具的裁减配置,以参与更好的安保战略粒度和更多的预防性控制。AWS公司称之为“无处不在的身份验证”。
其结果是,企业应该为零信赖的实施做好漫长而迂回的预备。特意是假设他们能展现出间接的商业效益,那么迈出第一步是值得的。