擁抱零信任你就站在安全行業的風口,理解和落地零信任你就走在成功的道路上
責編:gltian |2021-07-07 13:21:01自從RSA發布了零信任以后,國內安全廠家和安全同仁一直在討論零信任:很多安全公司推出了各種各樣的零信任產品,比如SDP、桌面沙箱等等;甲方企業安全從業者也在各種場合討論零信任,有人說零信任是一種技術,有人說零信任是一種概念,有人說零信任是新瓶裝舊酒,還有人說零信任在企業根本無法落地…。前段時間,阿肯受騰訊安全之邀,分享了我對零信任的理解以及在企業的落地實踐。
要說清楚零信任以及在企業的落地實踐,阿肯認為可以從以下幾個問題探討:什么是零信任?為什么這個時候行業關注零信任?零信任解決企業什么問題?不同企業不同場景如何落地零信任?零信任對安全廠商的影響?
一、如何一句話說清楚什么是零信任
1、NIST關于零信任的描述好幾十頁,主要的意思簡單總結如下:
被訪問的各類資產是在安全區域,需要重點保障安全,這些資產本身也是安全的,默認外部任何人無權訪問;
訪問這些資產需要經過多重認證,且每次訪問連接要經過鑒權認證,通信連接是安全的;
誰能訪問這個區域的什么資源需要經過嚴格的授權,遵守最小化原則;
需要有用戶/設備的行為數據,動態調整資源訪問策略;
需要動態監控分析資產各類安全狀況及使用信息,以便對不安全行為進行快速判斷和響應;
零信任主要架構,一種是應用門戶型,一種是超級網關型,還有一種是agent方式,以下是前面兩種的邏輯示意圖,也是阿肯認為最有可能在企業落地的方式:
從以上我們可以看到,零信任不是一種技術、一個產品,而是一種安全架構,其中涉及到很多技術產品的組合使用,不同的公司需要根據自身的情況,選擇不同的一種或多種架構去實施落地,而不同的架構中會涉及到不同的產品和技術。
2、“一句話安全”說清楚零信任架構包含哪些內容
大家看NIST的零信任介紹會覺得很繞,就像20年前看27001一樣,阿肯認為一句話安全≈零信任,企業按照“一句話安全”建設,基本上就可以做好零信任架構的落地:安全的員工,使用安全的設備,經過動態的鑒權,精細化的授權,訪問安全的系統。一句話安全是一種安全業務架構,架構安全了,整個房子就有了基本的安全保障。
“一句話安全”包含哪些東西,如何落地建設,阿肯在“掌握企業安全建設的1+N,你就拿到了通向未來CISO的鑰匙!”里有詳細介紹,這里就簡單羅列一下“一句話安全”架構涉及的安全產品:員工安全產品、終端安全產品(加密、桌管、輕量沙箱、殺毒)、認證中心、授權中心、安全網關/應用門戶、安全ERP(作業中心、預警中心、UEBA、風險地圖、報表中心、稽查中心…)、安全自動化平臺、SOAR。關于“安全的系統”,企業之前該怎么做現在還是怎么做。
二、為什么這個時候行業內如此關注零信任
在討論零信任在企業的落地方式前,我們需要簡單分析一下零信任在這個階段被人們關注的原因。
零信任的概念并不新鮮,為什么現在被大家關注,阿肯認為有幾個方面的原因,一是因為技術上,企業在大規模上云、IOT/OT場景快速增加、5G在百行千業的逐步推廣,這些都?讓企業的辦公網邊界會越來越難于管控,企業會將重點放到數據中心的資產保護上面;二是因為國內企業正處于產業互聯轉型和數字化轉型的大趨勢,數據安全需求迫切,遠程辦公需求也在不斷增加,網絡安全就是生產安全,也在逐漸成為企業業務的一部分,企業必須把系統和數據資產本身的使用授權問題放到重中之重考慮;三是,隨著黑灰產對企業業務和生產安全的威脅不斷增加,國家及行業監管也不斷收緊,企業必須有一種更加合適安全業務架構來解決面臨的安全問題,符合安全監管。
三、零信任解決了企業什么安全問題
很多甲方安全從業者都在討論企業什么場景下的安全問題需要零信任來解決,安全廠家都在研究什么的產品才能跟零信任扯上關系。阿肯認為,既然零信任是一種安全業務架構,企業基于零信任的架構逐漸建設安全能力,就不限于哪幾種場景了。如果按照安全事前防護、事中監控、事后追溯的邏輯來看,零信任的架構可以歸為事前防護類,一個企業一旦按照一句話安全落地了安全架構,60-70%以上的安全問題就解決了,因為對外的攻擊面縮小了,從訪問人員、設備、權限、系統每步都有控制。但是這些安全產品,以及被重點保護的資產和數據本身還是有安全漏洞,使用過程還會存在安全風險,這些就要通過事中監控、事后追溯去解決,比如UEBA、SOAR、預警中心等。
四、不同企業不同場景如何落地零信任
雖然零信任不限安全場景,但是因為很多公司的業務和技術架構早就存在,要一次性改造成零信任是不現實,也是不科學的。關于零信任的安全架構在企業的落地,不同的企業可以選擇不同的方式,同樣的企業不同的系統也可以選擇不同的零信任方式。阿肯認為,大致可以分為以下幾種情況:
1、如果您的企業需要重新開發業務系統,或者您的公司是初創公司,安全負責人可以跟CIO、CEO溝通,在系統設計之初就采用資源門戶模式的零信任;
2、如果您企業的系統早就建設好了,但是又想通過零信任的方式盡可能減少安全風險,可以選擇網關模式的零信任;
3、如果您的企業不想花時間改造老系統,可以在開發新的獨立系統的時候采用零信任的架構,然后逐步改造老系統;
4、如果安全負責人說服不了公司在業務系統上做任何改造,可以退而求其次,把IT后臺管理/研發系統做成零信任模式,這樣的改造影響的范圍僅限于IT科技人員,對業務影響不大。比如,可以把VPN等遠程辦公改造成網關模式的零信任;可以通過零信任模式解決隨時隨地遠程研發/運維/聯調的業務安全需求。其實大部分企業的安全人員可能的選擇是這種方式切入零信任架構。
以上任何一種情況,企業要落地零信任的安全業務架構,安全負責人一定要記住幾點:首先,業務在企業永遠是第一位的,安全要服務于業務,安全負責人一定要與公司領導溝通達成一致;其次,不管采用應用門戶,還是網關模式的零信任,企業都需要有相應的安全產品,比如提升員工安全素養的產品、終端安全產品、認證系統、UEBA、安全告警中心等。
六、零信任架構下對安全廠家的要求
現在很多老的安全廠家在思考如何追趕零信任的熱潮,讓公司成功轉型,還有很多初創公司也借助零信任的概念,推出新的安全產品。其實零信任的安全架構不但適合現在產業互聯和數字化轉型的企業,OT/IOT的場景更加需要零信任架構,留給安全廠家的時間還是很充足的。所以,阿肯認為,安全廠家只要想清楚以下兩點,在安全領域就會有一片自己的天空。
第一,員工安全、主機安全、網絡安全、容器安全、應用安全、數據安全、攻防滲透、應急響應等傳統領域的安全還是企業安全建設的基礎,但是未來企業會要求這些領域的安全產品更加靈活、專業和自動化。以高效低成本保護好這些核心資產,就是保護業務和企業的穩定,這是老板們的核心訴求。比如,應用安全產品應該盡量做到少用人工干預(人貴、難招、更不好留);數據安全應該做到敏感數據的細粒度管理、事前控制和過程干預。
第二,零信任架構下,有些安全產品將會成為甲方企業的硬需求,比如終端安全(輕量級的電腦沙箱)、安全網關、UEBA(含用戶行為、資產行為)、SOAR、安全ERP等。因為企業在產業互聯及數字化轉型趨勢下,安全成為了業務的一部分,這就需要企業安全建設像對生產系統全鏈條監控和快速排障一樣,保持對用戶/員工、賬號、設備、權限、系統、數據和業務等全鏈條安全的實時監控、告警和快速響應。
大家認為人是慢慢變老的,其實人是一瞬間變老的。很多人認為行業轉型是慢慢發生的,其實當我們感覺到變化的時候,變化已經發生了。零信任是企業需要的一種安全架構,擁抱零信任你就站在安全行業的風口,理解和落地零信任你就走在成功的道路上。
來源:阿肯的不惑之年