安全動(dòng)態(tài)

零信任,而非不信任:部署零信任網(wǎng)絡(luò)訪問的實(shí)用指南

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2024-10-08    瀏覽次數(shù):
 
零信任網(wǎng)絡(luò)訪問(ZTNA)不僅是應(yīng)對(duì)現(xiàn)代威脅的安全措施,更是企業(yè)推動(dòng)數(shù)字化轉(zhuǎn)型和應(yīng)對(duì)遠(yuǎn)程工作需求的關(guān)鍵工具。

零信任不僅是一個(gè)流行詞匯,而是安全的必要措施,零信任網(wǎng)絡(luò)訪問(ZTNA)可以保護(hù)你的企業(yè)免受現(xiàn)代威脅并確保無縫的遠(yuǎn)程訪問。

零信任網(wǎng)絡(luò)訪問(ZTNA)是一種安全模型,遵循“永不信任,始終驗(yàn)證”的原則。與依賴傳統(tǒng)網(wǎng)絡(luò)邊界安全不同,ZTNA要求所有訪問請(qǐng)求,無論其來源,都必須經(jīng)過嚴(yán)格驗(yàn)證后才允許訪問,這意味著每個(gè)用戶、設(shè)備和應(yīng)用程序都必須持續(xù)進(jìn)行身份驗(yàn)證和授權(quán),以確保只有具備合法憑據(jù)的人才能訪問網(wǎng)絡(luò)資源。

“零信任”這一術(shù)語在十多年前由Forrester Research的一位分析師提出,并迅速在行業(yè)內(nèi)獲得廣泛認(rèn)可。隨后,商業(yè)化的零信任安全解決方案逐漸出現(xiàn),其在全球各行業(yè)的采用率穩(wěn)步上升。

ZTNA近年來的日益流行,特別是在全球疫情之后,可以歸因于工作環(huán)境的變化。如今,員工經(jīng)常在不同地點(diǎn)、使用各種設(shè)備遠(yuǎn)程訪問公司網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)。這一趨勢(shì),加上對(duì)云服務(wù)和數(shù)字化轉(zhuǎn)型的日益增長(zhǎng)的需求,使得傳統(tǒng)的基于邊界的安全模型失效。

例如,許多銀行客戶已經(jīng)多年沒有去過實(shí)體網(wǎng)點(diǎn),為什么呢?因?yàn)榛ヂ?lián)網(wǎng)和移動(dòng)銀行的功能和便利性讓實(shí)體網(wǎng)點(diǎn)對(duì)大多數(shù)人來說變得無關(guān)緊要,這些后臺(tái)技術(shù)的實(shí)現(xiàn)依賴于云計(jì)算和開放銀行帶來的能力。

舊有的靜態(tài)安全方法,即盲目信任網(wǎng)絡(luò)內(nèi)部實(shí)體并不信任外部實(shí)體,已經(jīng)無法有效保護(hù)現(xiàn)代企業(yè)。為應(yīng)對(duì)這一挑戰(zhàn),需要一種新的框架,該框架關(guān)注用戶身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的安全,提供持續(xù)、動(dòng)態(tài)和安全的訪問,這正是ZTNA的作用所在。

ZTNA不是獨(dú)立的解決方案

零信任是一個(gè)綜合框架的一部分,該框架涵蓋了用戶身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)安全。作為首席信息安全官(CISOs),評(píng)估我們?cè)谶@些領(lǐng)域的當(dāng)前狀況,了解現(xiàn)有的訪問控制機(jī)制,并確定如何進(jìn)行初始和持續(xù)的驗(yàn)證至關(guān)重要。優(yōu)先考慮關(guān)鍵資產(chǎn)的ZTNA實(shí)施,以及創(chuàng)建用戶友好、以客戶為中心的安全體驗(yàn),是ZTNA成功的關(guān)鍵。

那么,ZTNA如何幫助我們滿足支持遠(yuǎn)程工作和推動(dòng)數(shù)字化轉(zhuǎn)型的需求呢?雖然數(shù)字化轉(zhuǎn)型通常涉及技術(shù)進(jìn)步,但它始于文化的變革,并涵蓋基礎(chǔ)設(shè)施、治理、業(yè)務(wù)運(yùn)營(yíng)、客戶互動(dòng)等多方面的變化。ZTNA是這一變革旅程中的關(guān)鍵組成部分,事實(shí)上,它是驅(qū)動(dòng)整個(gè)旅程的引擎!

重要的是,不要僅將ZTNA視為遠(yuǎn)程工作的解決方案。在疫情之前,世界已經(jīng)日益互聯(lián),ZTNA為這個(gè)全球村莊提供了基礎(chǔ)性的理念。自疫情以來,隨著越來越多的人群開始遠(yuǎn)程工作,ZTNA的重要性也呈指數(shù)級(jí)增長(zhǎng)。

ZTNA增強(qiáng)了從用戶身份、設(shè)備到應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的全面安全性。通過持續(xù)演進(jìn)和適應(yīng),ZTNA提供了一種動(dòng)態(tài)且強(qiáng)大的訪問控制方法。

讓我們看看一些行業(yè)中ZTNA實(shí)施的真實(shí)案例。

案例一:ZTNA在多云訪問控制中的應(yīng)用

越來越多的企業(yè)采用多云策略,以利用多個(gè)云環(huán)境的優(yōu)勢(shì)。安全訪問這些環(huán)境中的資源已經(jīng)成為一項(xiàng)關(guān)鍵需求。零信任網(wǎng)絡(luò)訪問(ZTNA)通過實(shí)施最小特權(quán)訪問控制,并考慮用戶身份、設(shè)備狀態(tài)和位置等上下文因素,提供了解決方案,這確保了用戶只能訪問其被授權(quán)的云資源。

根據(jù)Symantec的報(bào)告《ZTNA在多個(gè)數(shù)據(jù)中心的應(yīng)用》所述,一家總部位于倫敦的國際金融科技公司,專注于為金融機(jī)構(gòu)提供軟件即服務(wù)和分布式賬本技術(shù),該公司成功實(shí)施了ZTNA解決方案,以確保其多云環(huán)境的安全訪問,該公司復(fù)雜的監(jiān)管環(huán)境要求對(duì)其在英國、美國及其他地區(qū)運(yùn)營(yíng)的敏感客戶數(shù)據(jù)進(jìn)行嚴(yán)格控制。

通過用ZTNA解決方案替代傳統(tǒng)VPN,該公司實(shí)現(xiàn)了基于身份的訪問控制,并與現(xiàn)有的身份和訪問管理(IAM)解決方案無縫集成,該部署無需終端代理,即可簡(jiǎn)化對(duì)Web門戶、API和各類服務(wù)器的訪問,提升了其全球基礎(chǔ)設(shè)施的安全性、治理和運(yùn)營(yíng)靈活性。

案例二:ZTNA支持BYOD政策

疫情加速了“自帶設(shè)備”(BYOD)政策的采用,員工可以隨時(shí)隨地使用任何設(shè)備連接到企業(yè)網(wǎng)絡(luò)。ZTNA為個(gè)人設(shè)備提供了安全的、無需代理的企業(yè)應(yīng)用程序訪問,支持BYOD的實(shí)施。

根據(jù)SentryBay的白皮書《在零信任框架中優(yōu)先考慮安全以成功實(shí)現(xiàn)BYOD》所述,一家北美保險(xiǎn)公司面臨著數(shù)以萬計(jì)的遠(yuǎn)程代理使用公司筆記本電腦所帶來的高昂成本和合規(guī)挑戰(zhàn)。為降低開支,他們采用了BYOD策略并部署了虛擬桌面基礎(chǔ)設(shè)施(VDI)系統(tǒng),然而,這也引入了新的終端合規(guī)性風(fēng)險(xiǎn)。

該公司實(shí)施了ZTNA解決方案來保護(hù)VDI客戶端,確保符合PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求,該產(chǎn)品通過單點(diǎn)登錄(SSO)和基于證書的設(shè)備驗(yàn)證來安裝,將不受管理的設(shè)備轉(zhuǎn)變?yōu)榘踩慕K端,這一方法降低了資本支出,簡(jiǎn)化了設(shè)備管理,確保了合規(guī)性并保護(hù)了客戶數(shù)據(jù)。

案例三:ZTNA滿足監(jiān)管和合規(guī)要求

尤其是受法規(guī)約束的企業(yè),必須符合各種合規(guī)性和監(jiān)管要求,包括嚴(yán)格的訪問控制、詳細(xì)的審計(jì)日志和安全分析。傳統(tǒng)的安全解決方案往往缺乏所需的精細(xì)控制和文檔記錄來滿足這些要求。ZTNA提供了細(xì)粒度的訪問控制、詳細(xì)的日志記錄和實(shí)時(shí)的安全分析,從而解決了這些挑戰(zhàn)。

正如前文提到的SentryBay白皮書中所強(qiáng)調(diào)的,一家全球性投資銀行在應(yīng)對(duì)數(shù)千名遠(yuǎn)程員工訪問公司網(wǎng)絡(luò)時(shí),現(xiàn)有的安全解決方案難以滿足金融合規(guī)要求,為了解決這些問題,該銀行用ZTNA解決方案替代了之前的方案。

這款ZTNA解決方案為最初的7000個(gè)終端設(shè)備提供了高度定制的安全配置文件,后來擴(kuò)展至20000個(gè)終端,這一方案確保了對(duì)全球金融監(jiān)管機(jī)構(gòu)的全面合規(guī),同時(shí)減少了支持電話的需求,消除了對(duì)新公司筆記本電腦的需求。ZTNA解決方案的無縫部署在全球范圍內(nèi)保護(hù)了遠(yuǎn)程員工,通過專利技術(shù)在內(nèi)核級(jí)別抵御鍵盤記錄和屏幕捕獲,有效保護(hù)了敏感的金融數(shù)據(jù)。

評(píng)估ZTNA旅程的成功涉及與全球網(wǎng)絡(luò)安全戰(zhàn)略的對(duì)齊

零信任已在全球范圍內(nèi)獲得顯著認(rèn)可,美國和新加坡等國家將其納入了國家網(wǎng)絡(luò)安全計(jì)劃。新加坡2021年的網(wǎng)絡(luò)安全戰(zhàn)略強(qiáng)調(diào)了零信任方法在保護(hù)政府機(jī)構(gòu)系統(tǒng)和數(shù)據(jù)中的重要性。在美國,2023年4月發(fā)布的CISA零信任成熟度模型2.0版本進(jìn)一步展示了ZTNA的日益普及和廣泛采用,這一全球趨勢(shì)表明,ZTNA原則的意識(shí)和實(shí)施正在成功提升。

ZTNA的采用在不同企業(yè)之間存在顯著差異,一些企業(yè)處于早期階段,另一些則更為先進(jìn),已經(jīng)有明確且實(shí)施到位的控制措施。ZTNA旅程的成功無法通過單一標(biāo)準(zhǔn)來衡量,應(yīng)該根據(jù)每個(gè)企業(yè)的具體性質(zhì)、規(guī)模和運(yùn)營(yíng)情況進(jìn)行定制。

因此,回顧一下,以下是考慮ZTNA時(shí)的一些實(shí)用建議:

? 評(píng)估你當(dāng)前的安全狀態(tài)和ZTNA的成熟度。

? 確定關(guān)鍵資產(chǎn)(系統(tǒng)、數(shù)據(jù)、人員、業(yè)務(wù)流程等),并根據(jù)企業(yè)的獨(dú)特特征優(yōu)先實(shí)施ZTNA。

? 記住,ZTNA是一個(gè)持續(xù)的過程。應(yīng)優(yōu)先考慮持續(xù)的監(jiān)控、調(diào)整、創(chuàng)新、自動(dòng)化以及用戶和客戶體驗(yàn)的改進(jìn)。

在當(dāng)今世界,安全不再是奢侈品,而是必要條件。每個(gè)企業(yè),無論是初創(chuàng)公司還是全球性企業(yè),都必須致力于保護(hù)其員工、客戶和聲譽(yù)。隨著AI繼續(xù)推動(dòng)技術(shù)和業(yè)務(wù)的變革,零信任網(wǎng)絡(luò)訪問變得更加關(guān)鍵。

想一想:AI推動(dòng)增長(zhǎng)的潛力無可否認(rèn),但企業(yè)的未來也取決于其應(yīng)對(duì)數(shù)據(jù)泄露、勒索軟件、網(wǎng)絡(luò)釣魚和深度偽造等威脅的能力,一套強(qiáng)大的ZTNA解決方案是面對(duì)這些挑戰(zhàn)時(shí)的堅(jiān)實(shí)基礎(chǔ)。

 
 

上一篇:【一周安全資訊1005】《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》發(fā)布;Linux曝出9.9分高危漏洞,影響幾乎所有發(fā)行版

下一篇:專家解讀|蔣艷:健全數(shù)據(jù)安全法律制度 筑牢網(wǎng)絡(luò)數(shù)據(jù)安全防線