首页 > 信息安全 > 正文

澄清对零信任安全的5大误区

2019-03-25 10:40:05  来源:51CTO

摘要:不只是“信任但要验证”,零信任模型应该假设攻击者最终会开展入侵活动——即使他们还没有。目前有一些对零信任的误解阻碍了其发展。
关键词: 安全
  不只是“信任但要验证”,零信任模型应该假设攻击者最终会开展入侵活动——即使他们还没有。目前有一些对零信任的误解阻碍了其发展。
 
  多年来,主流的安全信条是“信任但要验证”。然而,这种观念已不足以应对当今无边界、全球化、移动化、基于云的威胁环境。
 
  据Gartner预计,在2019年组织机构将投入1370亿美元在IT安全和风险管理上,因为2018年66%的企业都经历过安全漏洞。你可能会想安全投资这么大,我们应该会比坏人领先几步,但现状是几乎每周都会有备受瞩目的网络攻击新闻出现。
 
  零信任安全是对陈旧安全策略的一剂良药,因为它要求组织机构永远不要信任并始终进行验证。每个企业必须认识到攻击者存在于网络内外,并且基于边界的安全无法再防御基于身份和基于证书的入侵。而身份和证书是当今主要的攻击媒介。现在的解决方案是通过仅在适当的时候授予足够的权限,将信任完全移除。
 
  然而,目前有一些对零信任的误解阻碍了其发展。让我们看一下5大误区,并澄清事实。
 
  误区1:零信任安全之路始于数据完整性
 
  请放心,加密敏感数据并确保其完整性仍然是最佳做法。 没有人否认这一点。但是如果攻击者已经获得了访问权限(包括解密密钥),那么还能如何限制攻击者窃取数据呢?
 
  Forrester估计80%的数据泄露事件都是由于特权证书滥用造成的。与个人账户相比,特权证书为窃取数据提供了更大的平台,所以只要一个受损的证书就可以影响数百万人并造成大巨大的损失。这也就不意外Gartner建议将特权访问管理(PAM)置于任何安全项目列表的第一位了。
 
  在组织开始实施以保护身份为中心的安全措施之前,账户攻击将持续为数据泄露提供完美的伪装。因此,零信任之路应该始终从保护身份开始。
 
  误区2:零信任只适用于大型组织机构
 
  谷歌是最早采用零信任模式的公司之一。因此很多人仍然认为该模型只适用于大型组织机构。但实际情况是,没有公司在面对网络攻击是安全的。事实上,根据“2018年Verizon数据泄露调查报告”,61%的数据泄露事件影响到了小型企业。
 
  好消息是零信任安全不会让你倾家荡产。企业规模和预算不应该成为阻碍,因为即使是很小的企业也可以通过成本效益高、循序渐进的方法开始零信任工作。例如,很多组织机构通过使用密码库或多因素身份验证等容易实现的功能,显着提高了其安全性。每年在每个系统上花费几百美元是非常值得的,可以避免潜在数百万美元的罚款、处罚或品牌损失。
 
  误区3:我需要完全替换整个网络安全环境
 
  谷歌在第一次建立其零信任安全架构时,的确决定从头开始建立整个安全网络。但对于大部分组织机构来说,情况并非如此。
 
  零信任可以简单的通过增强环境中已有的安全控制开始。例如,你可以从部署“MFA无处不在”方案开始,这种方案并不复杂并能够带来巨大的价值。这第一步非常有助于建立身份保障并能够显着减少攻击层面,为你的组织机构走向零信任之路打下坚实的基础。
 
  误区4:零信任仅限于本地部署
 
  很多组织机构认为零信任只适用于本地工作,而不能应用到公有云上。当敏感信息存储在传统网络外部时,这将成为一个问题。
 
  事实上零信任可以轻松扩展到云环境中,而且随着各行各业转向混合,多云环境,这一点变得越来越重要。此外,零信任不仅包括基础设施,数据库和网络设备,还应该扩展到其他攻击层面,这些层面正日益成为现代组织机构发展的战略要求,包括大数据,DevOps和容器等。
 
  误区5:零信任的唯一好处是它能将我面临的风险降到最低
 
  减少风险显然是零信任带来的主要益处,但是绝对不是唯一的好处。
 
  Forrester最近总结道零信任可以将一个组织机构面临的风险降低37%甚至更多。但是他们也发现部署零信任的组织机构可以减少31%的安全支出,在整体IT安全预算中节省数百万美元。
 
  零信任还可以带来更大的商业信心。Forrester研究发现部署零信任的组织机构对采用移动工作模型的信心高出66%,保护DevOps环境的信心高出44%。因此他们能够更有信心和保障加速使用新的商业模型,带来新的用户体验。
 
  最重要的是,今天的安全工作并不安全。零信任模型不只是“信任但要验证”,一个零信任模型假设攻击者最终会入侵——即使他们还没有。采用了零信任,你可以减少攻击层面,提高审计和合规的可见性,并降低复杂性和成本。
 
  零信任是现代混合型企业实现安全的根本方法。记住:永远不要信任。始终进行验证。实施最小权限。
 
  这些才不是误区。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。