传统技术如何阻碍零信任以及如何应对

news2024/11/16 1:24:34

随着组织采用零信任安全模型,传统技术制造了一些障碍。事实上,根据最近的一项研究,更换或重建现有的遗留基础设施是实施零信任的最大挑战。

通用动力公司的 2022 年零信任研究报告对美国联邦、民事和国防机构的 300 名 IT 和项目经理进行了调查,根据 2021 年总统行政命令,这些机构被要求采用零信任模式。调查发现,58% 的受访者在确定需要哪些技术 (50%)、缺乏 IT 员工专业知识 (48%) 和成本 (46%) 之前列出了遗留技术挑战。

面临此类挑战的不仅仅是政府 IT。针对网络安全软件和服务公司 Optiv的《2022 年零信任策略》报告进行调查的网络安全领导者同样将传统技术视为对其零信任路线图的挑战。在跨越不同行业的 150 名受访者中,约有 44% 的人将太多不支持零信任的遗留技术列为主要障碍。这是阻碍其组织内零信任演变的第二大因素。(首先是“零信任的不同组成部分有太多内部孤岛/利益相关者”,被 47% 引用。)

Imran Umar 了解采用现代安全框架的传统技术所面临的挑战。“一般而言,传统技术在本质上往往是非常静态的,而不是旨在处理强制执行政策决策所需的动态规则集,”作为专业服务公司 Booz Allen Hamilton 的高级网络解决方案架构师并率先实现零- 信任整个公司以支持美国国防部、联邦民事机构和情报界的举措。

因此,即使对安全方法的兴趣飙升,传统技术也使许多组织实施和成熟零信任实践的计划变得复杂。来自身份和访问管理软件制造商 Okta的 2022 年零信任安全状态报告接受调查的组织中,约有 97% 的组织表示,他们要么制定了零信任计划,要么将在未来 12 到 18 个月内实施。这比四年前的 16% 有所上升。

企业网络安全的零信任方法消除了隐含信任的概念。从理论上讲,这意味着组织不应该信任任何用户、设备或连接,直到它验证自己是值得信赖的。零信任认为所有用户、设备和软件系统在接入企业IT环境之前,必须通过各种机制建立信任;零信任还要求所有用户、设备和软件系统在首次进入企业 IT 环境后寻求访问其他网络和系统以及企业数据时重新建立这种信任。

这是理论上的;所有这些原则都难以在日常实践中实施。这让我们回到了传统技术,这可能是在企业内实施零信任实践的障碍,因为技术本身并不容易支持或很好地与验证授权访问和限制未经授权访问所需的实践和技术配合使用。“零信任是组织需要采取的行动方式,但这不是一个简单的前景,”数字转型解决方案公司 UST 的首席信息安全官 Tony Velleca 说。

对零信任的传统限制源于外围防御

零信任正在取代依赖外围防御的旧安全模型。正如资深 CISO 所知,这种防御策略基本上是在企业 IT 环境周围筑起一道墙,将外部世界拒之门外,同时允许对墙内的任何人进行广泛且在某些情况下几乎无限制的访问。

然而,近几十年来,由于从云计算到随时随地工作的各种因素的影响,企业技术边界一直在恶化。这种恶化已经使外围防守过时了。因此,零信任方法不是试图锁定城堡,而是寻求确保在正确的时间仅授权访问所需的系统和数据。

“因此,当您将更多系统从您自己的网络内部迁移到外部时,验证能力成为您安全性中最重要的组成部分之一,”Velleca 说,并补充说“零信任的整个理念就是您”正在尝试对用户、设备和连接采取更精细的方法。”

零信任通过解决多个“支柱”(身份、设备、网络、应用程序工作负载和数据)的安全性以及使用策略和技术来启用或限制访问来实现这一点。支持和实现零信任的关键工具包括访问和身份管理 (IAM) 软件、用户和实体行为分析 (UEBA) 以及微分段。零信任的支持者(很多)表示,这种方法支持授权访问,但同时最有可能阻止黑客进入,或者如果他们确实进入,则阻止他们在企业 IT 环境中移动。

“此时所有组织都强烈希望转向零信任架构,原因是它抵制横向移动,”管理咨询公司 Guidehouse 的网络安全实践主管 Christine C. Owen 说。但是,将零信任引入遗留环境的问题是:该技术大部分是在外围防御时代开发和实施的,并不总是具有可以轻松使用这种现代安全性的结构,甚至根本没有。方法。

例如,Umar 指出了严重依赖静态第 4 层访问控制规则来允许或拒绝访问资源的传统网络设备。然而,这种结构与现代零信任架构形成对比,后者的访问决策基于动态规则集,例如用户访问位置、设备合规性和用户身份。他还指出,传统技术对条件访问的支持有限,这是零信任的关键推动力。

专家说,与此同时,许多组织都在努力识别和分类遗留系统中保存的数据,以便他们可以围绕各种分类级别添加适当的访问控制。“这些系统可能是一个黑盒子,”企业安全领导者、云安全播客主持人、认证和培训组织 SANS 的培训师 Ashish Rajan 说。这反过来又使关键的零信任组件(例如微分段和对这些系统的上下文访问)变得棘手。

欧文说,当组织试图为其传统技术添加零信任时,会出现性能或用户体验问题,使情况更加复杂。“我发现零信任会导致摩擦,此时组织必须决定是否可以增加这种摩擦,”她说。“一旦你建立了一个新的零信任架构,你就会发现事情会破裂。”

Raytheon Intelligence & Space 的网络、情报和服务业务部门的首席创新官 Torsten Staab 说,所有这些问题也使组织很难知道从哪里开始以及如何开始。尽管如此,他还是提醒企业安全领导者不要让这些挑战延迟他们的零信任之旅。“存在限制,但即使在那些遗留环境中也有机会部署零信任。”

采取分阶段的零信任方法来管理遗留技术障碍

其他专家赞同 Staab 的评论,称传统技术不会也不应该阻止组织实施或推进其零信任安全模型。事实上,他们强调零信任的一大卖点是其多支柱、多层次的基础。换句话说,这不是一种全有或全无的方法。“有些事情是可以做的。对遗留系统采用你可以零信任的部分是有意义的。这将有助于降低您的风险,”他说。

专家说,关键是确定可以添加哪些零信任组件,更具体地说,哪些是最容易添加的组件,然后从这些组件开始。“无论您是否处理遗留问题,零信任的一般方法都是分阶段的方法,”Staab 指出。“有了零信任安全,这就是多层次;这不仅仅是看一个。因此,从一个开始,然后推出更多功能。”

例如,他指出,安全团队通常可以向遗留系统添加多因素身份验证 (MFA),而不会出现复杂情况。“对于许多组织来说,这并不难,”他说。

专家表示,组织可以重新设计遗留系统,将它们分解以将各个部分相互隔离,并创建一个微分段架构;添加更多发现功能以创建对资产和活动的可见性,然后在分析和 UEBA 中分层;并将访问控制放在旧应用程序前面。

“随着组织向零信任迈进,他们必须首先对其当前环境进行零信任成熟度评估,确定其当前能力的基线,然后制定目标状态架构和实现它的路线图。这一零信任之旅还需要一个将遗留技术集成到零信任架构中的计划,”Umar 补充道。“例如,传统技术对条件访问的支持有限,这是零信任的关键推动因素。因此,组织需要使用更新的技术来增强它们以解决这些限制。”

当然,完成所有这些工作是有成本的。获得资金是 CISO 在转向零信任时面临的另一个障碍。安全专家表示,首席信息安全官和他们的高管同事必须决定他们在旧环境中面临最大风险的地方,转向零信任的成本,然后确定降低风险的回报是否会超过投资。

他们说,在这方面,零信任决策与 CISO 在其他安全战略点上做出的决策并没有真正的不同。一些分析表明,实施零信任的好处将超过成本,而其他时候则不会。“这就是为什么你必须非常有意识,”Staab 说。“您不必一次完成所有工作;没有人期望您在所有领域都完全合规。但是传统的方法——基于边界的安全——不起作用,这应该会导致你实现零信任安全。有些事情是可以做的,你可以利用现有的基础设施做一些事情,以实现零信任。这是可行的,但你必须有意愿。”

零信任研究报告

零信任成熟度机构指南

关注回复 20221017 获取

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/98540.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

计算机毕设Python+Vue兴澜幼儿园管理系统(程序+LW+部署)

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

重定向和缓冲区

文章目录一个奇怪的现象缓冲区详解如何理解缓冲区缓冲区是谁给我提供的?缓冲区的源码体现案例:模拟实现FILE结构体第二个奇怪的现象重定向命令行上使用重定向操作dup2系统调用接口stdout和stderror一个奇怪的现象 首先,我们来看这样一段代码…

毕业设计 - 基于Java的聊天室系统设计与实现【源码+论文】

文章目录前言一、项目设计1. 模块设计服务器模块设计客户端模块设计2. 实现效果二、部分源码项目源码前言 今天学长向大家分享一个 java 设计项目: 基于Java聊天室系统的设计与实现 一、项目设计 1. 模块设计 服务器模块设计 服务端的功能主要如下: 一&#xf…

R语言绘制森林图

在绘制森林图之前当然需要先下载RStudio软件啦,在下载后需要安装对应的rtool,最后将两者关联起来才能使用其中对应的包,否则只安装了软件很多功能不能使用而且还会报错,这篇文章主要是总结怎么使用forestploter包绘制森林图,本来是…

【Linux修炼手册:基本指令(完结)】

Life is about waiting for the right moment to act. 目录 1 zip/unzip指令 2 tar指令(重要):打包/解包,不打开它,直接看内容 3 bc指令 4 uname –r指令 5 重要的几个热键[Tab],[ctrl]-c, [ctrl]-d 6 shutdown 7…

智能语音之远场关键词识别实践(二)

上篇(智能语音之远场关键词识别实践(一))讲了“远场关键词识别”项目中后端上的实践。本篇将讲在前端上的一些实践以及将前端和后端连起来形成一个完整的方案。下图是其框图:(麦克风阵列为圆阵且有四个麦克…

SpringMVC【学习笔记】

SpringMVC是什么? Spring Web MVC是一种基于Java的实现了Web MVC设计模式的请求驱动类型的轻量级Web 框架,即使用了MVC架构模式的思想,将web 层进行职责解耦,基于请求驱动指的就是使用请求-响应模型,框架的目的就是帮助我们简化…

看2022年卡塔尔世界杯有感

一、我印象中第一次看世界杯是2010年南非世界杯 自己第一次踢球是什么时候已经记不清了,大概是小学时候。因为我印象中第一次看世界杯是2010年南非世界杯,因为世界杯主题曲也比较好听,当然,我认为1998年法国世界杯的主题曲最为经…

Python中的魔法方法

python中的魔法方法是一些可以让你对类添加“魔法”的特殊方法,它们经常是两个下划线包围来命名的 Python的魔法方法,也称为dunder(双下划线)方法。大多数的时候,我们将它们用于简单的事情,例如构造函数(init)、字符串表示(str, r…

计算机毕设Python+Vue兴发农家乐服务管理系统(程序+LW+部署)

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

Linux | 套接字(socket)编程 | UDP协议讲解

文章目录TCP与UDP的区别网络字节序套接字接口介绍sockaddr结构服务端UDP套接字设置客户端UDP套接字设置TCP与UDP的区别 TCPUDP传输层协议传输层协议有连接无连接可靠连接不可靠连接面向字节流面向数据报 首先,网络通信模型是分层的,模型的每一层都有属于…

深入jvm字节码

深入jvm字节码1.深入剖析class文件结构1.1初探class文件1.2 class文件结构解析1.2.1 魔数1.2.2 版本号1.2.3 常量池1.2.4 Access flags1.2.5 this_class,super_name,interfaces1.2.6 字段表1.2.7 方法表1.2.8 属性表1.3使用javap查看类文件2.字节码基础2.1字节码概述2.2java虚拟…

一文看懂---B树及其简单实现

目录 1.B树的引入 2.B树的概念 3.B树是如何插入的? 4.具体的代码实现 1.B树的引入 在以往我们在内存中搜索数据时,可以使用红黑树,平衡树,哈希表等数据结构,但是当数据量比较大,不能一次放进内存&…

[附源码]计算机毕业设计Python仓储综合管理系统(程序+源码+LW文档)

该项目含有源码、文档、程序、数据库、配套开发软件、软件安装教程 项目运行 环境配置: Pychram社区版 python3.7.7 Mysql5.7 HBuilderXlist pipNavicat11Djangonodejs。 项目技术: django python Vue 等等组成,B/S模式 pychram管理等…

C++PrimerPlus 第七章 函数-C++的编程模块-7.9 递归

目录 7.9 递归 7.9.1 包含一个递归调用的递归 7.9.2 包含多个递归调用的递归 7.9 递归 下面介绍一些完全不同的内容。C函数有一种有趣的特点——可以调用自己(然而,与C语言不同的是,C不允许main()调用自己),这种功能…

SpringCloud Gateway简单使用

前言 SpringCloud Gateway是一个网关框架,也是现在流行的的一个网关框架,它包括了过滤器、限流、权限、基本路由、整合Eureka 断言predicates 等功能,也会介绍和zuul这个框架的一个对比, Spring Cloud 生态系统中的网关&#xff…

243. 一个简单的整数问题2——差分+树状数组

给定一个长度为 N 的数列 A,以及 M 条指令,每条指令可能是以下两种之一: C l r d,表示把 A[l],A[l1],…,A[r] 都加上 d。 Q l r,表示询问数列中第 l∼r 个数的和。 对于每个询问,输出一个整数表示答案。 …

《爱与自由》豆瓣9.3优秀父母的必读书

《爰和自由》 关于作者 孙瑞雪,中国著名的幼儿教育家与心理学专家,"爱和自由、规则和平等”教育精神的 发起者和倡导者,中国系统引进实施国际蒙特梭利教育第一人,成功实践了科学教育法的本土化。她发展和延伸了蒙特梭利敏感…

Oh My Posh美化CMD、Anaconda Prompt解决方案

网上搜到的Oh My Posh安装配置都是针对power shell的(我参考这篇成功配置了针对power shell的字体和主题)。期间遇到了无法加载文件WindowsPowerShell\profile.ps1的问题,参考这篇解决。由于平时我用Anaconda比较多,而anaconda是基…

基于ARMR和白噪声特性模型及风速威布尔分布研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…