傳統技術如何阻礙零信任以及如何應對

隨著組織采用零信任安全模型，傳統技術制造了一些障礙。事實上，根據最近的一項研究，更換或重建現有的遺留基礎設施是實施零信任的最大挑戰。

通用動力公司的 2022 年零信任研究報告對美國聯邦、民事和國防機構的 300 名 IT 和項目經理進行了調查，根據 2021 年總統行政命令，這些機構被要求采用零信任模式。調查發現，58% 的受訪者在確定需要哪些技術 (50%)、缺乏 IT 員工專業知識 (48%) 和成本 (46%) 之前列出了遺留技術挑戰。

面臨此類挑戰的不僅僅是政府 IT。針對網絡安全軟件和服務公司 Optiv的《2022 年零信任策略》報告進行調查的網絡安全領導者同樣將傳統技術視為對其零信任路線圖的挑戰。在跨越不同行業的 150 名受訪者中，約有 44% 的人將太多不支持零信任的遺留技術列為主要障礙。這是阻礙其組織內零信任演變的第二大因素。（首先是“零信任的不同組成部分有太多內部孤島/利益相關者”，被 47% 引用。）

Imran Umar 了解采用現代安全框架的傳統技術所面臨的挑戰。“一般而言，傳統技術在本質上往往是非常靜態的，而不是旨在處理強制執行政策決策所需的動態規則集，”作為專業服務公司 Booz Allen Hamilton 的高級網絡解決方案架構師并率先實現零- 信任整個公司以支持美國國防部、聯邦民事機構和情報界的舉措。

因此，即使對安全方法的興趣飆升，傳統技術也使許多組織實施和成熟零信任實踐的計劃變得復雜。來自身份和訪問管理軟件制造商 Okta的 2022 年零信任安全狀態報告接受調查的組織中，約有 97% 的組織表示，他們要么制定了零信任計劃，要么將在未來 12 到 18 個月內實施。這比四年前的 16% 有所上升。

企業網絡安全的零信任方法消除了隱含信任的概念。從理論上講，這意味著組織不應該信任任何用戶、設備或連接，直到它驗證自己是值得信賴的。零信任認為所有用戶、設備和軟件系統在接入企業IT環境之前，必須通過各種機制建立信任；零信任還要求所有用戶、設備和軟件系統在首次進入企業 IT 環境后尋求訪問其他網絡和系統以及企業數據時重新建立這種信任。

這是理論上的；所有這些原則都難以在日常實踐中實施。這讓我們回到了傳統技術，這可能是在企業內實施零信任實踐的障礙，因為技術本身并不容易支持或很好地與驗證授權訪問和限制未經授權訪問所需的實踐和技術配合使用。“零信任是組織需要采取的行動方式，但這不是一個簡單的前景，”數字轉型解決方案公司 UST 的首席信息安全官 Tony Velleca 說。

對零信任的傳統限制源于外圍防御

零信任正在取代依賴外圍防御的舊安全模型。正如資深 CISO 所知，這種防御策略基本上是在企業 IT 環境周圍筑起一道墻，將外部世界拒之門外，同時允許對墻內的任何人進行廣泛且在某些情況下幾乎無限制的訪問。

然而，近幾十年來，由于從云計算到隨時隨地工作的各種因素的影響，企業技術邊界一直在惡化。這種惡化已經使外圍防守過時了。因此，零信任方法不是試圖鎖定城堡，而是尋求確保在正確的時間僅授權訪問所需的系統和數據。

“因此，當您將更多系統從您自己的網絡內部遷移到外部時，驗證能力成為您安全性中最重要的組成部分之一，”Velleca 說，并補充說“零信任的整個理念就是您”正在嘗試對用戶、設備和連接采取更精細的方法。”

零信任通過解決多個“支柱”（身份、設備、網絡、應用程序工作負載和數據）的安全性以及使用策略和技術來啟用或限制訪問來實現這一點。支持和實現零信任的關鍵工具包括訪問和身份管理 (IAM) 軟件、用戶和實體行為分析 (UEBA) 以及微分段。零信任的支持者（很多）表示，這種方法支持授權訪問，但同時最有可能阻止黑客進入，或者如果他們確實進入，則阻止他們在企業 IT 環境中移動。

“此時所有組織都強烈希望轉向零信任架構，原因是它抵制橫向移動，”管理咨詢公司 Guidehouse 的網絡安全實踐主管 Christine C. Owen 說。但是，將零信任引入遺留環境的問題是：該技術大部分是在外圍防御時代開發和實施的，并不總是具有可以輕松使用這種現代安全性的結構，甚至根本沒有。方法。

例如，Umar 指出了嚴重依賴靜態第 4 層訪問控制規則來允許或拒絕訪問資源的傳統網絡設備。然而，這種結構與現代零信任架構形成對比，后者的訪問決策基于動態規則集，例如用戶訪問位置、設備合規性和用戶身份。他還指出，傳統技術對條件訪問的支持有限，這是零信任的關鍵推動力。

專家說，與此同時，許多組織都在努力識別和分類遺留系統中保存的數據，以便他們可以圍繞各種分類級別添加適當的訪問控制。“這些系統可能是一個黑盒子，”企業安全領導者、云安全播客主持人、認證和培訓組織 SANS 的培訓師 Ashish Rajan 說。這反過來又使關鍵的零信任組件（例如微分段和對這些系統的上下文訪問）變得棘手。

歐文說，當組織試圖為其傳統技術添加零信任時，會出現性能或用戶體驗問題，使情況更加復雜。“我發現零信任會導致摩擦，此時組織必須決定是否可以增加這種摩擦，”她說。“一旦你建立了一個新的零信任架構，你就會發現事情會破裂。”

Raytheon Intelligence & Space 的網絡、情報和服務業務部門的首席創新官 Torsten Staab 說，所有這些問題也使組織很難知道從哪里開始以及如何開始。盡管如此，他還是提醒企業安全領導者不要讓這些挑戰延遲他們的零信任之旅。“存在限制，但即使在那些遺留環境中也有機會部署零信任。”

采取分階段的零信任方法來管理遺留技術障礙

其他專家贊同 Staab 的評論，稱傳統技術不會也不應該阻止組織實施或推進其零信任安全模型。事實上，他們強調零信任的一大賣點是其多支柱、多層次的基礎。換句話說，這不是一種全有或全無的方法。“有些事情是可以做的。對遺留系統采用你可以零信任的部分是有意義的。這將有助于降低您的風險，”他說。

專家說，關鍵是確定可以添加哪些零信任組件，更具體地說，哪些是最容易添加的組件，然后從這些組件開始。“無論您是否處理遺留問題，零信任的一般方法都是分階段的方法，”Staab 指出。“有了零信任安全，這就是多層次；這不僅僅是看一個。因此，從一個開始，然后推出更多功能。”

例如，他指出，安全團隊通常可以向遺留系統添加多因素身份驗證 (MFA)，而不會出現復雜情況。“對于許多組織來說，這并不難，”他說。

專家表示，組織可以重新設計遺留系統，將它們分解以將各個部分相互隔離，并創建一個微分段架構；添加更多發現功能以創建對資產和活動的可見性，然后在分析和 UEBA 中分層；并將訪問控制放在舊應用程序前面。

“隨著組織向零信任邁進，他們必須首先對其當前環境進行零信任成熟度評估，確定其當前能力的基線，然后制定目標狀態架構和實現它的路線圖。這一零信任之旅還需要一個將遺留技術集成到零信任架構中的計劃，”Umar 補充道。“例如，傳統技術對條件訪問的支持有限，這是零信任的關鍵推動因素。因此，組織需要使用更新的技術來增強它們以解決這些限制。”

當然，完成所有這些工作是有成本的。獲得資金是 CISO 在轉向零信任時面臨的另一個障礙。安全專家表示，首席信息安全官和他們的高管同事必須決定他們在舊環境中面臨最大風險的地方，轉向零信任的成本，然后確定降低風險的回報是否會超過投資。

他們說，在這方面，零信任決策與 CISO 在其他安全戰略點上做出的決策并沒有真正的不同。一些分析表明，實施零信任的好處將超過成本，而其他時候則不會。“這就是為什么你必須非常有意識，”Staab 說。“您不必一次完成所有工作；沒有人期望您在所有領域都完全合規。但是傳統的方法——基于邊界的安全——不起作用，這應該會導致你實現零信任安全。有些事情是可以做的，你可以利用現有的基礎設施做一些事情，以實現零信任。這是可行的，但你必須有意愿。”