随着网络边界的消失,零信任技术成为行业普遍关注的焦点。但是,在零信任理念下,企业需要面对海量的权限梳理和资产识别工作,涉及企业各个业务系统、认证系统、终端设备以及访问协议的对接,因此其建设的难度可想而知,很多零信任项目的开展最终都要面对建设周期长、运维压力大、投入产出低的挑战。
如果要想要取得零信任项目的成功,不仅需要企业用户投入足够的人员、时间、资源和预算去保障,同时还需要确保所选择的零信任安全厂商真正具备应对建设挑战的能力。因此,在零信任项目实施前,企业用户需要向零信任安全厂商问清以下8个问题,并做出准确的判断:
1、零信任安全厂商是否能够帮助用户充分利用现有的网络安全基础设施?
在采用零信任理念之前,很多企业多年来在安全和网络软硬件设备上已经投入了大量的资金。安全厂商要有能力在尽可能利用现有技术和设备的同时,向零信任解决方案转型。
大多数企业其实已经实施了与零信任有关的部分要素,如身份管理、访问控制、双因子身份验证、网络分段等管理策略。这些企业需要的是一种全面、集成、可扩展的策略驱动方式来实现对零信任解决方案的全面落地,他们需要寻找能够在极少改动企业内部现有基础设施情况下,助力其进行零信任转型的安全厂商。
2、零信任安全厂商是否真正了解用户的零信任建设需求与目标?
一个优秀的零信任解决方案供应商在为企业制定方案计划时,不会只是浮于表面的在管理层面前高谈阔论,而是会根据企业组织目前所面临的实际业务挑战建立明确的解决方案,并在一定程度上保证这些方案的实施效果,力求达到企业组织所需的业务目标。
企业组织的具体目标可能包括为在家工作的员工提供安全的远程访问,保护本地和云端的敏感数据,或为软件开发人员加强API安全性等。因此安全厂商要能够根据企业组织的具体业务需求来定制可执行的、有效果的解决方案。
3、零信任安全厂商是否有能力将用户企业中的身份管理融入到未来的整体安全控制措施中?
身份安全是新一代安全架构体系建设的基础,零信任安全厂商要与企业组织的需求保持一致,并且有足够的技术能力帮助企业在网络系统中采用全面的身份管理策略来进行安全管控,这并不是一件容易的事。
目前,企业组织当中的身份管理缺口很多,例如,很多企业会忽略在员工访问Web应用等场景下也需要采用精细化身份管理。有很多单点解决方案(如Web应用防火墙)可以填补这些缺口,但是这些单点解决方案如果不能得到很好的整合,将无法形成支持所有身份使用场景的整体解决方案。
而一家较为成熟的安全厂商,则可以通过安全编排、自动化和响应(SOAR)或扩展检测和响应 (XDR)等工具帮助企业组织实现最大程度的统一身份管理。
4、零信任安全厂商是否能够帮助企业组织合理规划零信任建设的优先级,并快速取得阶段性应用效果?
安全厂商在为企业组织建设零信任解决方案时,应将用户体验放在首位,尽可能保证零信任方案在企业内部实施流程的顺畅性,否则员工会认为该方案阻碍了正常工作,会设法绕过方案中包含的安全管控环节。
针对这一问题,安全厂商可以在企业组织中部署基于数字证书的身份验证,并逐步淘汰那些烦人的用户名和密码认证。如果企业中的员工是通过云或其他面向互联网的应用软件来访问办公应用程序的,安全厂商可以帮助企业建立以一种无需密码、双因子身份验证支持的方式进行访问,这样企业员工对零信任方案的接受程度就会提升。
如此,企业高层在发现员工对零信任解决方案初步实施的认可之后,也更愿意为其他更为复杂的零信任项目提供资金支持。
5、信任安全厂商是否能够帮助企业用户实现全局化的数据安全防护?
构建零信任解决方案的核心目的,就是为了保障企业数据资产的安全,不被非法的访问和窃取。如果不能实现全局化的数据安全防护,零信任安全建设将变得没有意义。针对这一问题,零信任安全厂商应该以数据资产的发现为起点,首先要帮助企业进行数据资产清点,了解企业中有哪些数据、这些数据储存在何处、如何跟踪这些数据;然后,要确定有哪些数据数据敏感数据,并制定数据分级分类管理,同时对这些数据资产进行跟踪防护和自动化管理。
6、零信任安全厂商是否能够帮助用户建立精细化的安全访问控制策略?
零信任理念的宗旨是,企业中的任何人在得到充分验证之前均视为不信任。但是很多安全厂商在为企业组织设置和执行精细化安全访问管控方面做的并不到位。零信任安全厂商在帮助企业组织实施零信任解决方案时,需要了解企业自身的最终用户有哪些。哪些用户可以登录?这些用户在登录后分别有哪些操作权限?例如,企业中某负责应收账款管理的员工按规定每月只能在账单支付时访问一次某些文件夹。
7、零信任安全厂商是否能够通过微隔离等技术,帮助用户缩小企业网络的攻击面?
网络隔离技术已存在很长一段时间,但零信任将这个概念推到了一种更加精细化的程度,即微隔离。在零信任网络中,安全厂商需要具备帮助企业组织围绕单个终端或单个主机系统创建分段的能力,这可以让企业内部员工的访问行为受到绝对管控。
比如,过去人力资源部门整体可能都处于同一网段上,但安全厂商在企业内部实施了微隔离之后,人力资源主管和部门其他员工可能分别有属于自己的网段,定义明确的防火墙规则可以规定他们可以做什么、不可以做什么。如果企业组织想要采用微隔离方法,这就要求安全厂商需要具备非常强大的网络配置和控制能力。
8、零信任安全厂商是否具备快速可靠的系统事件应急响应能力?
没有百分百的安全,对于网络安全系统来说同样会有发生故障的时候,一旦用户企业的身份安全管理系统或者其他零信任安全设施出现了故障,安全厂商不仅要考虑单点故障本身的修复,同时还要考虑可能出现的更为广泛的、连锁性的安全风险,因为导致这些单点故障的安全事件可能包括了针对性的黑客攻击、员工恶意行为等潜藏的危险。事件发生时,安全厂商要有能力帮助企业全面分析故障原因,是否存在被暴露的企业组织的账号信息?是否会导致非法的第三方访问?是否存在外部攻击者通过横向移动来绕过零信任的防御策略?
针对突发性的安全事件,安全厂商应该在为企业部署零信任解决方案时就尽可能全面的考虑到,并建立完善的补救策略。安全厂商应该帮助企业组织定期进行安全事件处置演练,从而在安全事件发生后,能够确保企业组织在第一时间知道应该如何进行最有效的处理,最大程度的降低企业损失。
参考链接
https://www.networkworld.com/article/3660776/8-questions-to-ask-vendors-about-zero-trust-network-access-ztna.html。