隨著企業數字化轉型的發展,零信任安全模型和理念已被企業組織的CISO們廣泛接受,但是實現它的過程卻并不容易,尤其是對一些中小型企業組織,零信任項目落地失敗的案例已經屢見不鮮。對于企業而言,現在的問題不在于是否應用零信任技術,而是如何避免其中的陷阱和失敗。日前,科技媒體ITPro梳理總結了導致零信任項目建設失敗的5個常見因素,希望能夠幫助企業在開啟零信任應用之旅時少走彎路。
1、缺乏對終端設備的全面管理
目前,遠程化、移動化已成為企業辦公模式的新常態,這也擴大了企業數字化系統的攻擊面,每一個連接到網絡的終端設備都可能含有潛在的漏洞,特別是那些位于傳統網絡之外的設備,比如打印機、安全攝像頭及其他物聯網設備。很多組織在建設應用零信任時,并沒有對所有的終端設備進行全面的審計,也沒有為不同類型設備制定專門的保護策略,所以無法確保每個設備根據防護需要定期更新。
Gartner研究人員認為,企業在應用零信任方案時,需要充分評估方案對異構終端的統一管理能力。強有力的終端安全防護將為企業零信任架構的落地打好基礎。同時,零信任建設并不是對傳統安全技術的拋棄,而是一種新的替換或者組合。企業在開展零信任項目建設時,應該將現有的NAC、EPP、EDR、DLP、IAM等安全能力整合到新的架構,實現傳統安全能力與零信任的無縫融合。
2、急于求成,實施過快
零信任建設不是一蹴而就的工作,而是一種需要不斷優化發展的創新安全理念,也是一個持續性的過程。實施零信任的前提是需要對網絡上的所有資產進行測繪和發現,并在此基礎上識別技術和人員等方面的安全漏洞,這樣才能清楚如何最有效地堵住漏洞。而且,資產梳理和發現的工作應該在確保日常工作不受干擾的情況下進行。
企業在開展零信任安全建設時,需要對傳統安全防護技術以及運營流程進行重大改變,此時如果步子邁得過大,會非常容易出錯。零信任建設的一個基本要求是要確保所有軟硬件都是最新版本、打上補丁,而確保對每個軟硬件都已摸清底細并能夠隨時優化安全需要花費一定的時間。因此,零信任建設需要一開始就分配足夠的時間來管理一切,并制定流程,以確保對所有的系統和應用都能夠有效管理和覆蓋。
3、忽視最低特權訪問原則
零信任安全是風險和信任之間的平衡狀態,對于不同的風險級別,授予不同信任程度,分配不同的權限。在零信任架構中,沒有絕對的可信或不可信。因此,零信任項目建設有一個不得不提的特定原則——最小化授權訪問,要確保所有類型的用戶僅擁有執行工作所需的最低權限級別這一策略。其目的是嚴格控制對資源的訪問,防止系統中出現可被非法利用的特權用戶賬號。
然而對于一些特權賬號用戶而言,最小化授權可能很難做到,尤其在多云環境下,數據和應用程序往往由不同的服務商托管運營,每家提供商都有不同的策略和安全規程,這就意味著內部團隊難免會分配過高的特權。安全專家建議企業使用授權管理或云基礎設施授權管理這類軟件,集中管理對多個軟件、系統、設備和云平臺的授權訪問。
4、未得到所有用戶的廣泛認同與支持
如果零信任安全建設完成以后,企業員工的安全意識卻沒有同步提升,這項技術的應用效果將難以充分發揮。企業應該向所有用戶展示新的規程、要求和流程。而很多失敗的零信任案例表明,一些利益相關者將零信任項目視為便捷開展數字化業務的障礙,并引發了大量的不滿情緒,這樣無疑會助長違規現象。那些試圖規避零信任安全制度的用戶將給項目成功應用帶來風險。
因此,企業要向每一個用戶清楚地講明零信任項目的背景和目標,讓他們可以真正理解為什么某些監控行為是必需的。安全團隊也要在整個組織范圍中打造積極的“零信任安全文化”,讓項目建設得到公司管理層、業務部門和所有相關用戶的支持。
5、以通用的方案開展零信任建設
大多數供應商都聲稱可提供完整的零信任安全解決方案,但事實上沒有哪款產品能做到。每家企業的零信任應用需求都不一樣:技術環境會不一樣,使用技術的方式不一樣,工作地點的分布也不一樣。因此,任何一家組織的零信任實施方案都不相同。如果不能清晰了解自身的零信任建設需求,并以此開展建設,零信任項目自然難以取得成功。
零信任是一種理念,成功的零信任安全項目大都從身份管理、多因子身份驗證和最低權限訪問等角度入手,逐步建設完善。目前零信任技術仍在快速發展完善,持續了解零信任技術和解決方案的特點對于長期保護建設投資也很重要。
