从主题演讲在网络安全行业对日常新闻头条的最大活动,每个人似乎都在谈论零信任。拜登政府现在甚至要求它适用于政府机构。无数的安全供应商将其放在他们的营销材料中,但是这是什么,我们如何达到这一点,组织和现在的联邦机构如何将其付诸实践?
从根本上讲,零信任是一种对网络安全的战略方法,它通过消除隐性信任并不断验证数字互动的每个阶段来确保组织。我们发现在IT基础架构内许多地方的隐性信任,例如信任坐在总部的用户与在家中远程工作的用户不同。想象一下,当您通过初始安全检查点时,机场是否仅检查您的身份。从理论上讲,一旦进入大厅,您就可以自由绕过预定的航班并登上世界各地的任何航班。零信任恰恰相反:无论用户如何,它都会实现连续验证。您的ID在安全检查站进行了检查,然后在门口检查您的登机牌,最后,空姐确保您坐在正确分配的座位上。即使通过初始安全筛选,也没有人受到信任。
在过去的两年中,大大加快了混合工作的迁移,导致许多安全团队开始对远程用户的安全方法进行大修的过程。然而,这种方法需要在整个基础架构中进行扩展,包括重大的数字转型计划,例如转向云,这大大增加了公司的潜在攻击面。2020年的Solarwinds攻击向每个人展示了一个没有零信任的世界有多危险:成千上万的组织发现自己受到了妥协。现在是时候让组织认真对待零信任作为一种整体策略,以确保他们保护最重要的事情。
似乎持续存在的一种误解是,零信任是您可以购买的产品。不幸的是,购买任何单一的安全产品并没有固有地使任何组织“零信任”。随着网络攻击继续升级,安全专业人员感到被迫部署一组不同的工具,实际上,我今天与之交谈的大多数组织都在其数字环境中使用50多种不同的技术。这款安全性“ Whac-A-Mole”游戏,在每个新威胁中采购并部署了新工具,创造了巨大的复杂性,紧张的安全团队并损害了整体安全水平。加速数字转型,不断发展的威胁和压倒性的安全复杂性的结合使全面的零信任方法成为绝对必要的。分析师公司Gartner同意,预测60%组织将在2025年之前将零信任作为安全性的起点。
零信任方法正确完成后,会提供一个机会,以适合这些重大变化的方式重建安全性,并涵盖用户,应用程序和基础架构等关键领域,以及诸如最不挑战的访问,持续信任验证以及持续的安全性以及持续的安全性等想法检查 - 以及对所有应用程序的所有数据和安全性的保护。
一旦建立了零信托控制和最佳实践,安全操作中心也将在连续验证这些政策中起关键作用。它通过不断监视和利用高级技术(例如行为分析和AI)来确定无法使用单个分析师或工具检测到的差距和安全问题。最后,零信任使公司能够通过合并单个工具,简化政策并找到自动化和编排的方法来简化公司。
随着公司和现在的政府机构开始实施零信托架构,以确保成功,应在组织的最高级别提出,提出和批准任何零信托倡议,包括执行利益相关者,从业者和董事会。这种方法是我们称之为真正的“零信托企业”,并避免了高度孤立的个人技术计划的陷阱。作为几年前在内部实施这种确切方法的组织的首席技术官,我亲眼目睹了以整体方式接近零信任的好处,即更高的总体安全和运营效率。
尼尔·祖克(Nir Zuk)是创始人和CTO帕洛阿尔托网络。