零信任,而非不信任:部署零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)的實(shí)用指南 |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2024-10-08 瀏覽次數(shù): |
零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)(ZTNA)不僅是應(yīng)對(duì)現(xiàn)代威脅的安全措施,更是企業(yè)推動(dòng)數(shù)字化轉(zhuǎn)型和應(yīng)對(duì)遠(yuǎn)程工作需求的關(guān)鍵工具。
零信任不僅是一個(gè)流行詞匯,而是安全的必要措施,零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)(ZTNA)可以保護(hù)你的企業(yè)免受現(xiàn)代威脅并確保無(wú)縫的遠(yuǎn)程訪(fǎng)問(wèn)。 零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)(ZTNA)是一種安全模型,遵循“永不信任,始終驗(yàn)證”的原則。與依賴(lài)傳統(tǒng)網(wǎng)絡(luò)邊界安全不同,ZTNA要求所有訪(fǎng)問(wèn)請(qǐng)求,無(wú)論其來(lái)源,都必須經(jīng)過(guò)嚴(yán)格驗(yàn)證后才允許訪(fǎng)問(wèn),這意味著每個(gè)用戶(hù)、設(shè)備和應(yīng)用程序都必須持續(xù)進(jìn)行身份驗(yàn)證和授權(quán),以確保只有具備合法憑據(jù)的人才能訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。 “零信任”這一術(shù)語(yǔ)在十多年前由Forrester Research的一位分析師提出,并迅速在行業(yè)內(nèi)獲得廣泛認(rèn)可。隨后,商業(yè)化的零信任安全解決方案逐漸出現(xiàn),其在全球各行業(yè)的采用率穩(wěn)步上升。 ZTNA近年來(lái)的日益流行,特別是在全球疫情之后,可以歸因于工作環(huán)境的變化。如今,員工經(jīng)常在不同地點(diǎn)、使用各種設(shè)備遠(yuǎn)程訪(fǎng)問(wèn)公司網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)。這一趨勢(shì),加上對(duì)云服務(wù)和數(shù)字化轉(zhuǎn)型的日益增長(zhǎng)的需求,使得傳統(tǒng)的基于邊界的安全模型失效。 例如,許多銀行客戶(hù)已經(jīng)多年沒(méi)有去過(guò)實(shí)體網(wǎng)點(diǎn),為什么呢?因?yàn)榛ヂ?lián)網(wǎng)和移動(dòng)銀行的功能和便利性讓實(shí)體網(wǎng)點(diǎn)對(duì)大多數(shù)人來(lái)說(shuō)變得無(wú)關(guān)緊要,這些后臺(tái)技術(shù)的實(shí)現(xiàn)依賴(lài)于云計(jì)算和開(kāi)放銀行帶來(lái)的能力。 舊有的靜態(tài)安全方法,即盲目信任網(wǎng)絡(luò)內(nèi)部實(shí)體并不信任外部實(shí)體,已經(jīng)無(wú)法有效保護(hù)現(xiàn)代企業(yè)。為應(yīng)對(duì)這一挑戰(zhàn),需要一種新的框架,該框架關(guān)注用戶(hù)身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的安全,提供持續(xù)、動(dòng)態(tài)和安全的訪(fǎng)問(wèn),這正是ZTNA的作用所在。 ZTNA不是獨(dú)立的解決方案零信任是一個(gè)綜合框架的一部分,該框架涵蓋了用戶(hù)身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)安全。作為首席信息安全官(CISOs),評(píng)估我們?cè)谶@些領(lǐng)域的當(dāng)前狀況,了解現(xiàn)有的訪(fǎng)問(wèn)控制機(jī)制,并確定如何進(jìn)行初始和持續(xù)的驗(yàn)證至關(guān)重要。優(yōu)先考慮關(guān)鍵資產(chǎn)的ZTNA實(shí)施,以及創(chuàng)建用戶(hù)友好、以客戶(hù)為中心的安全體驗(yàn),是ZTNA成功的關(guān)鍵。 那么,ZTNA如何幫助我們滿(mǎn)足支持遠(yuǎn)程工作和推動(dòng)數(shù)字化轉(zhuǎn)型的需求呢?雖然數(shù)字化轉(zhuǎn)型通常涉及技術(shù)進(jìn)步,但它始于文化的變革,并涵蓋基礎(chǔ)設(shè)施、治理、業(yè)務(wù)運(yùn)營(yíng)、客戶(hù)互動(dòng)等多方面的變化。ZTNA是這一變革旅程中的關(guān)鍵組成部分,事實(shí)上,它是驅(qū)動(dòng)整個(gè)旅程的引擎! 重要的是,不要僅將ZTNA視為遠(yuǎn)程工作的解決方案。在疫情之前,世界已經(jīng)日益互聯(lián),ZTNA為這個(gè)全球村莊提供了基礎(chǔ)性的理念。自疫情以來(lái),隨著越來(lái)越多的人群開(kāi)始遠(yuǎn)程工作,ZTNA的重要性也呈指數(shù)級(jí)增長(zhǎng)。 ZTNA增強(qiáng)了從用戶(hù)身份、設(shè)備到應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的全面安全性。通過(guò)持續(xù)演進(jìn)和適應(yīng),ZTNA提供了一種動(dòng)態(tài)且強(qiáng)大的訪(fǎng)問(wèn)控制方法。 讓我們看看一些行業(yè)中ZTNA實(shí)施的真實(shí)案例。 案例一:ZTNA在多云訪(fǎng)問(wèn)控制中的應(yīng)用越來(lái)越多的企業(yè)采用多云策略,以利用多個(gè)云環(huán)境的優(yōu)勢(shì)。安全訪(fǎng)問(wèn)這些環(huán)境中的資源已經(jīng)成為一項(xiàng)關(guān)鍵需求。零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)(ZTNA)通過(guò)實(shí)施最小特權(quán)訪(fǎng)問(wèn)控制,并考慮用戶(hù)身份、設(shè)備狀態(tài)和位置等上下文因素,提供了解決方案,這確保了用戶(hù)只能訪(fǎng)問(wèn)其被授權(quán)的云資源。 根據(jù)Symantec的報(bào)告《ZTNA在多個(gè)數(shù)據(jù)中心的應(yīng)用》所述,一家總部位于倫敦的國(guó)際金融科技公司,專(zhuān)注于為金融機(jī)構(gòu)提供軟件即服務(wù)和分布式賬本技術(shù),該公司成功實(shí)施了ZTNA解決方案,以確保其多云環(huán)境的安全訪(fǎng)問(wèn),該公司復(fù)雜的監(jiān)管環(huán)境要求對(duì)其在英國(guó)、美國(guó)及其他地區(qū)運(yùn)營(yíng)的敏感客戶(hù)數(shù)據(jù)進(jìn)行嚴(yán)格控制。 通過(guò)用ZTNA解決方案替代傳統(tǒng)VPN,該公司實(shí)現(xiàn)了基于身份的訪(fǎng)問(wèn)控制,并與現(xiàn)有的身份和訪(fǎng)問(wèn)管理(IAM)解決方案無(wú)縫集成,該部署無(wú)需終端代理,即可簡(jiǎn)化對(duì)Web門(mén)戶(hù)、API和各類(lèi)服務(wù)器的訪(fǎng)問(wèn),提升了其全球基礎(chǔ)設(shè)施的安全性、治理和運(yùn)營(yíng)靈活性。 案例二:ZTNA支持BYOD政策疫情加速了“自帶設(shè)備”(BYOD)政策的采用,員工可以隨時(shí)隨地使用任何設(shè)備連接到企業(yè)網(wǎng)絡(luò)。ZTNA為個(gè)人設(shè)備提供了安全的、無(wú)需代理的企業(yè)應(yīng)用程序訪(fǎng)問(wèn),支持BYOD的實(shí)施。 根據(jù)SentryBay的白皮書(shū)《在零信任框架中優(yōu)先考慮安全以成功實(shí)現(xiàn)BYOD》所述,一家北美保險(xiǎn)公司面臨著數(shù)以萬(wàn)計(jì)的遠(yuǎn)程代理使用公司筆記本電腦所帶來(lái)的高昂成本和合規(guī)挑戰(zhàn)。為降低開(kāi)支,他們采用了BYOD策略并部署了虛擬桌面基礎(chǔ)設(shè)施(VDI)系統(tǒng),然而,這也引入了新的終端合規(guī)性風(fēng)險(xiǎn)。 該公司實(shí)施了ZTNA解決方案來(lái)保護(hù)VDI客戶(hù)端,確保符合PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求,該產(chǎn)品通過(guò)單點(diǎn)登錄(SSO)和基于證書(shū)的設(shè)備驗(yàn)證來(lái)安裝,將不受管理的設(shè)備轉(zhuǎn)變?yōu)榘踩慕K端,這一方法降低了資本支出,簡(jiǎn)化了設(shè)備管理,確保了合規(guī)性并保護(hù)了客戶(hù)數(shù)據(jù)。 案例三:ZTNA滿(mǎn)足監(jiān)管和合規(guī)要求尤其是受法規(guī)約束的企業(yè),必須符合各種合規(guī)性和監(jiān)管要求,包括嚴(yán)格的訪(fǎng)問(wèn)控制、詳細(xì)的審計(jì)日志和安全分析。傳統(tǒng)的安全解決方案往往缺乏所需的精細(xì)控制和文檔記錄來(lái)滿(mǎn)足這些要求。ZTNA提供了細(xì)粒度的訪(fǎng)問(wèn)控制、詳細(xì)的日志記錄和實(shí)時(shí)的安全分析,從而解決了這些挑戰(zhàn)。 正如前文提到的SentryBay白皮書(shū)中所強(qiáng)調(diào)的,一家全球性投資銀行在應(yīng)對(duì)數(shù)千名遠(yuǎn)程員工訪(fǎng)問(wèn)公司網(wǎng)絡(luò)時(shí),現(xiàn)有的安全解決方案難以滿(mǎn)足金融合規(guī)要求,為了解決這些問(wèn)題,該銀行用ZTNA解決方案替代了之前的方案。 這款ZTNA解決方案為最初的7000個(gè)終端設(shè)備提供了高度定制的安全配置文件,后來(lái)擴(kuò)展至20000個(gè)終端,這一方案確保了對(duì)全球金融監(jiān)管機(jī)構(gòu)的全面合規(guī),同時(shí)減少了支持電話(huà)的需求,消除了對(duì)新公司筆記本電腦的需求。ZTNA解決方案的無(wú)縫部署在全球范圍內(nèi)保護(hù)了遠(yuǎn)程員工,通過(guò)專(zhuān)利技術(shù)在內(nèi)核級(jí)別抵御鍵盤(pán)記錄和屏幕捕獲,有效保護(hù)了敏感的金融數(shù)據(jù)。 評(píng)估ZTNA旅程的成功涉及與全球網(wǎng)絡(luò)安全戰(zhàn)略的對(duì)齊零信任已在全球范圍內(nèi)獲得顯著認(rèn)可,美國(guó)和新加坡等國(guó)家將其納入了國(guó)家網(wǎng)絡(luò)安全計(jì)劃。新加坡2021年的網(wǎng)絡(luò)安全戰(zhàn)略強(qiáng)調(diào)了零信任方法在保護(hù)政府機(jī)構(gòu)系統(tǒng)和數(shù)據(jù)中的重要性。在美國(guó),2023年4月發(fā)布的CISA零信任成熟度模型2.0版本進(jìn)一步展示了ZTNA的日益普及和廣泛采用,這一全球趨勢(shì)表明,ZTNA原則的意識(shí)和實(shí)施正在成功提升。 ZTNA的采用在不同企業(yè)之間存在顯著差異,一些企業(yè)處于早期階段,另一些則更為先進(jìn),已經(jīng)有明確且實(shí)施到位的控制措施。ZTNA旅程的成功無(wú)法通過(guò)單一標(biāo)準(zhǔn)來(lái)衡量,應(yīng)該根據(jù)每個(gè)企業(yè)的具體性質(zhì)、規(guī)模和運(yùn)營(yíng)情況進(jìn)行定制。 因此,回顧一下,以下是考慮ZTNA時(shí)的一些實(shí)用建議: ? 評(píng)估你當(dāng)前的安全狀態(tài)和ZTNA的成熟度。 ? 確定關(guān)鍵資產(chǎn)(系統(tǒng)、數(shù)據(jù)、人員、業(yè)務(wù)流程等),并根據(jù)企業(yè)的獨(dú)特特征優(yōu)先實(shí)施ZTNA。 ? 記住,ZTNA是一個(gè)持續(xù)的過(guò)程。應(yīng)優(yōu)先考慮持續(xù)的監(jiān)控、調(diào)整、創(chuàng)新、自動(dòng)化以及用戶(hù)和客戶(hù)體驗(yàn)的改進(jìn)。 在當(dāng)今世界,安全不再是奢侈品,而是必要條件。每個(gè)企業(yè),無(wú)論是初創(chuàng)公司還是全球性企業(yè),都必須致力于保護(hù)其員工、客戶(hù)和聲譽(yù)。隨著AI繼續(xù)推動(dòng)技術(shù)和業(yè)務(wù)的變革,零信任網(wǎng)絡(luò)訪(fǎng)問(wèn)變得更加關(guān)鍵。 想一想:AI推動(dòng)增長(zhǎng)的潛力無(wú)可否認(rèn),但企業(yè)的未來(lái)也取決于其應(yīng)對(duì)數(shù)據(jù)泄露、勒索軟件、網(wǎng)絡(luò)釣魚(yú)和深度偽造等威脅的能力,一套強(qiáng)大的ZTNA解決方案是面對(duì)這些挑戰(zhàn)時(shí)的堅(jiān)實(shí)基礎(chǔ)。 |
上一篇:【一周安全資訊1005】《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》發(fā)布;Linux曝出9.9分高危漏洞,影響幾乎所有發(fā)行版 下一篇:專(zhuān)家解讀|蔣艷:健全數(shù)據(jù)安全法律制度 筑牢網(wǎng)絡(luò)數(shù)據(jù)安全防線(xiàn) |