澄清对零信任安全的5大误区

安全 应用安全 网站安全 零信任
不只是“信任但要验证”,零信任模型应该假设威胁者会发起威胁活动——即使他们还没有。目前有一些对零信任的误解阻碍了其发展。

不只是“信任但要验证”,零信任模型应该假设威胁者会开展发起威胁活动——即使他们还没有。目前有一些对零信任的误解阻碍了其发展。

[[260296]]

多年来,主流的安全信条是“信任但要验证”。然而,这种观念已不足以应对当今无边界、全球化、移动化、基于云的威胁环境。

据Gartner预计,在2019年组织机构将投入1370亿美元在IT安全和风险管理上,因为2018年66%的企业都经历过安全漏洞。你可能会想安全投资这么大,我们应该会比坏人领先几步,但现状是几乎每周都会有备受瞩目的网络威胁新闻出现。

零信任安全是对陈旧安全策略的一剂良药,因为它要求组织机构永远不要信任并始终进行验证。每个企业必须认识到威胁者存在于网络内外,并且基于边界的安全无法再防御基于身份和基于证书的侵入。而身份和证书是当今主要的威胁媒介。现在的解决方案是通过仅在适当的时候授予足够的权限,将信任完全移除。

然而,目前有一些对零信任的误解阻碍了其发展。让我们看一下5大误区,并澄清事实。

误区1:零信任安全之路始于数据完整性

请放心,加密敏感数据并确保其完整性仍然是理想做法。 没有人否认这一点。但是如果威胁者已经获得了访问权限(包括解密密钥),那么还能如何限制威胁者窃取数据呢?

Forrester估计80%的数据泄露事件都是由于特权证书滥用造成的。与个人账户相比,特权证书为窃取数据提供了更大的平台,所以只要一个受损的证书就可以影响数百万人并造成大巨大的损失。这也就不意外Gartner建议将特权访问管理(PAM)置于任何安全项目列表的第一位了。

在组织开始实施以保护身份为中心的安全措施之前,账户威胁将持续为数据泄露提供完美的伪装。因此,零信任之路应该始终从保护身份开始。

误区2:零信任只适用于大型组织机构

谷歌是很早采用零信任模式的公司之一。因此很多人仍然认为该模型只适用于大型组织机构。但实际情况是,没有公司在面对网络威胁是安全的。事实上,根据“2018年Verizon数据泄露调查报告”,61%的数据泄露事件影响到了小型企业。

好消息是零信任安全不会让你倾家荡产。企业规模和预算不应该成为阻碍,因为即使是很小的企业也可以通过成本效益高、循序渐进的方法开始零信任工作。例如,很多组织机构通过使用密码库或多因素身份验证等容易实现的功能,显著提高了其安全性。每年在每个系统上花费几百美元是非常值得的,可以避免潜在数百万美元的罚款、处罚或品牌损失。

误区3:我需要完全替换整个网络安全环境

谷歌在第一次建立其零信任安全架构时,的确决定从头开始建立整个安全网络。但对于大部分组织机构来说,情况并非如此。

零信任可以简单的通过增强环境中已有的安全控制开始。例如,你可以从部署“MFA无处不在”方案开始,这种方案并不复杂并能够带来巨大的价值。这第一步非常有助于建立身份保障并能够显著减少威胁层面,为你的组织机构走向零信任之路打下坚实的基础。

误区4:零信任仅限于本地部署

很多组织机构认为零信任只适用于本地工作,而不能应用到公有云上。当敏感信息存储在传统网络外部时,这将成为一个问题。

事实上零信任可以轻松扩展到云环境中,而且随着各行各业转向混合,多云环境,这一点变得越来越重要。此外,零信任不仅包括基础设施,数据库和网络设备,还应该扩展到其他威胁层面,这些层面正日益成为现代组织机构发展的战略要求,包括大数据,DevOps和容器等。

误区5:零信任的唯一好处是它能将我面临的风险降低

减少风险显然是零信任带来的主要益处,但是绝对不是唯一的好处。

Forrester总结道零信任可以将一个组织机构面临的风险降低37%甚至更多。但是他们也发现部署零信任的组织机构可以减少31%的安全支出,在整体IT安全预算中节省数百万美元。

零信任还可以带来更大的商业信心。Forrester研究发现部署零信任的组织机构对采用移动工作模型的信心高出66%,保护DevOps环境的信心高出44%。因此他们能够更有信心和保障加速使用新的商业模型,带来新的用户体验。

重要的是,今天的安全工作并不安全。零信任模型不只是“信任但要验证”,一个零信任模型假设威胁者会发起进攻——即使他们还没有。采用了零信任,你可以减少威胁层面,提高审计和合规的可见性,并降低复杂性和成本。

零信任是现代混合型企业实现安全的根本方法。记住:永远不要信任。始终进行验证。

 

这些才不是误区。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-04-08 11:20:24

零信任网络安全网络攻击

2018-10-12 11:21:10

2021-10-21 10:04:37

零信任技术前线企业

2022-07-18 13:36:13

零信任网络安全

2022-03-07 15:35:31

零信任安全5G

2018-04-08 21:48:43

2019-09-19 10:58:26

边缘计算物联网云计算

2022-01-23 10:44:39

零信任网络安全网络攻击

2020-09-09 15:12:33

东软工控安全

2021-08-09 08:40:33

零知识证明零信任网络安全

2021-04-21 10:00:03

企业数字化

2021-12-24 10:24:10

零信任

2021-04-21 10:00:25

数字化

2023-05-31 13:59:37

2021-01-31 18:30:33

零信任网络安全网络攻击

2021-11-17 10:35:34

零信任安全网络安全网络攻击

2015-04-15 09:34:38

虚拟化云计算平台零信任

2018-11-14 10:05:58

5G4G网络

2009-11-29 17:12:07

Chrome OS谷歌

2021-11-16 19:17:14

零信任网络安全网络攻击
点赞
收藏

51CTO技术栈公众号