如何避免4个常见的零信任陷阱(包括一个可能花费您的工作的陷阱)

由十年前的研究分析师制定了 零信任安全模型 被思想领袖所带来的。当谷歌凭借其无限预算和资源时,开始采用靠近零信任框架的东西,努力具有合法突出的早期采用者。

零信任陷阱

引入十一年后,IT和安全领导者仍然在愤怒中看待零信任。现有基础设施的差距和需求,维持增量改进的要求,并且无法简单地从划痕开始就像现实和乌托邦之间的障碍。

根据国家安全机构的说法 指导 2021年2月26日发布,有四个关键方面的零信任思维方式:

  • 协调和积极的系统监控,系统管理和防御性操作能力
  • 假设所有对关键资源和所有网络流量的请求可能是恶意的
  • 假设所有设备和基础设施都可能受到损害
  • 接受所有访问批准对关键资源产生的风险,并准备进行快速损害评估,控制和恢复操作。

假设所有设备,基础设施和交通的妥协在会议室内是不切实际的,因为它在SOC中是徒劳的。不幸的是,像框架一样的心态无法提供实践方向,清晰的建议或下一步。这导致了通过良好的零信任采用者制造的四个关键陷阱。

常见的零信任陷阱

在我解释这些之前,让我们设置基础。零信任的组件包括以下六个域:

身份:在整个企业中描述,验证和保护帐户。这包括整个云,本地和远程资产的所有用户,服务,API和其他访问授予帐户。

资产:查看每个触及环境的资产。与身份一样,描述,验证和保护其存在的任何位置:云,内部部门和遥控器。确保在访问权限之前,确保管理和安全要求在取向和功能。

应用程序:将所有影子it,shadow cloud和为您自己的应用程序转换为托管和安全的应用程序。基于当前的分析和需求减少访问。监视,控制和正确的用户权限。

数据:在其存储库中,在elt / etl和应用程序中识别,分类和标记数据。将您的注意力转移到控制周边以控制数据访问。根据您的分类标签和内部策略加密和控制访问。

基础设施:使用最少的特权 - 访问或“默认拒绝”,监视和警报异常和疑似攻击。使用自动化阻止异常和危险的行为。

网络:识别具有更大风险或更高价值数据的网络区域。通过风险和价值分段不同的网络区域并按策略限制访问权限。部署内部网络中的加密。确保设备和用户不值得信赖,因为它们在内部网络上。

考虑到这一点是四个零信任陷阱,以避免实际建议这样做。

陷阱#1:选择一个,重要的应用作为证明地面

这很常见,因为通过从一个应用程序开始,它似乎更容易证明零信任。难点是您不知道其与其他应用程序的互连,其访问权限和用户需要哪些访问应用程序。

零信任需要分割每个应用程序,以便它们彼此隔离。这是非常困难的,因为组织内的知识不可避免地缺乏关于申请如何互动的知识。

最好开始分割应用程序的生态系统。然后您可以访问该应用程序的门,不必担心服务交付失败。处理应用程序生态系统允许您专注于用户到应用程序交互边界。必须处理用户到应用程序加上应用程序和应用程序到基础架构边界将粉碎您。

陷阱#2:专注于身份关注导致可执行的项目,无明确的目光

陷阱大多数从业者都属于需要了解并定义其组织中的每一个身份。最初,这似乎很简单,但你意识到有服务帐户和机器和应用身份。它更加困难,因为身份项目必须包含权限,每个应用程序都有自己的架构,可授予什么权限。没有标准化。

相反,专注于用户帐户。当我们从应用程序生态系统开始时,我们的意图是专注于用户和应用边界。现在,如果我们查看身份,请以交互式登录开始,即,需要访问帐户以执行操作的用户。通过使用证书和旋转凭据来消除通用登录确保不拒绝。

陷阱#3:提供任何设备访问每个地方的任何应用程序都会花费您的工作

大多数会议室都认为Zero Trust作为使用任何设备能够进行业务的方式。这应该是强大的零信任程序的最终结果。如果它是你开始的地方,你将不堪重负违规行为。零信任的目的是技术上表达了您不相信任何设备或网络的事实。通过将目光缩小到它来实现这一点。

首先提供对正确应用程序的正确身份访问,并确保这些用户之间存在分段及其访问。接下来,移动批准的设备,您可以在任何建议上验证设备或用户,以确保身份验证基础架构到位。一旦它是并且可以验证设备,您可以扩大访问网络的设备类型和各种。

陷阱#4:决定放弃云的数据中心将使零信任突然存在

举起并转移你的 数据中心环境 到云不可避免地保证灾难从零信任的角度来看。这里的陷阱缺乏数据中心的资产的适当可见性,他们连接到与企业的段。只需重新实例化云中的数据中心就不会授予您的可见性。事实上,它加剧了您缺乏可见性,因为控制云增加了摩擦,而不是数据中心。

在移动到云之前,获得上述三合一的可见性—应用程序生态系统到用户组边界,执行身份验证所需的用户身份属性以及需要访问的设备。将您已包含为着名实体的应用生态系统将为您免于灾难。

数字转型命令 意味着Zero Trust的旅程现在开始。与所有主要举措一样,预先绘制您的课程,了解沿着这一旅程中存在的陷阱,几乎思考如何避免它们将缓解让许多组织开始入门的愤怒。

分享这个