甲方企業零信任選型的五個基準測試問題

零信任是近年來發展最迅猛的網絡安全細分市場之一，根據Gartner的最新預測，到2026年，最終用戶在零信任方面的支出將從2022年的8.919億美元飆升至超過20億美元。

零信任到底包括那些技術和產品？

在這個“言必稱零信任”的時代，甲方企業的零信任道路上布滿了暗坑，因為很多網絡安全廠商的零信任方案和路線與甲方需求脫節，并不能解決企業面臨的現實問題。這種產品與需求的脫節始于最初的銷售周期，廠商熱衷宣傳和承諾自己的零信任方案具備易用性、簡化的API集成和響應式服務，但企業購買部署后卻發現“現實很骨感”，不但方案達不到預期效果，還產生了很多意料之外的新問題。

“網絡安全廠商有一個不太好的習慣，就是總喜歡把多年來銷售的各種安全產品都打包到‘零信任’里面，”Forrester高級分析師大衛霍姆斯指出：“這種情況太普遍了。但實際上，零信任專有的技術并不多，例如：零信任網絡訪問(ZTNA)、微分段和PIM/PAM（特權身份管理/特權訪問管理）。許多其他安全技術，例如身份和訪問管理（IAM）、網絡自動化和端點加密，可用于支持零信任方案，但它們本身并不是（原生的）零信任技術。通常來說，不是安全廠商專為零信任設計開發的產品，都不應歸類為零信任產品。”

CISO的零信任優先事項

為了確保資金到位并說服高級管理層對零信任進行更多投資，CISO喜歡追求快速、可見的、展現價值的成就或應用。IAM和PAM通常是CISO著手的第一個重要零信任項目。此外，CISO還希望在他們的應用程序、技術堆棧和交易路徑上實現零信任。為此，CISO們正在尋找更有效的方法來建設和強化零信任網絡框架的技術堆棧。許多人發現，集成和防護零信任技術堆棧比預期的要復雜得多，而且成本更高。

另外一個CISO優先考慮的重點事項是如何利用現有安全工具遵循零信任方法來保護網外資產。SolarWinds供應鏈攻擊漏洞之后，CISO們開始擔心將零信任整合到DevOps周期中會產生新的安全問題。因此，在支持零信任的網絡中實現更安全、更高效的協作也是一個優先事項。

CISO常遇到的另一個坑是安全廠商經常宣稱其零信任方案可以為技術堆棧和基礎設施提供“全覆蓋”。CISO必須以懷疑的眼光和審視廠商對其零信任方案的宣傳，通過盡職調查了解實際交付的內容，因為零信任不是一個盒子、一個產品，而是一組技術堆棧、一種成熟度和能力。

最后，CISO還必須關注零信任安全廠商能否從他們銷售的解決方案中消除隱含信任。

雖然從技術堆棧中消除隱含信任非常困難，但供應商需要致力于修改他們的系統和平臺以真正遵循零信任原則。“隱含信任問題在整個IT基礎設施中十分普遍。那么，你打算從哪里開始呢？你打算怎么做？”這就是CISO要拷問廠商的問題。

永不信任，始終測試：對零信任廠商的五項基準測試

企業IT和安全團隊意識到，隨著IT基礎設施適應不斷變化的風險要求，零信任架構也將不斷發展變化。不斷增加的機器身份、新的網外端點和IT系統整合使零信任計劃成為一項持續進行的工作。

從技術堆棧中移除隱含信任、在用戶之間采用最低特權訪問以及替換VPN是一個緩慢的過程，CISO不能被某些廠商的所謂“一次性交付”的虛假宣傳所誤導。

因此，甲方企業的CISO需要通過一些基準測試來評估安全廠商的零信任方案，以下我們列舉五個常見的零信任基準測試問題：

人員和和機器身份的IAM和PAM是廠商零信任平臺的核心嗎？

IAM和PAM是企業提高零信任實施成功率的首選入門產品，因為二者實施快，見效快。評估廠商宣傳真實性最好的辦法就是調查該廠商是否有客戶運行同時覆蓋機器和人員身份的IAM和PAM方案。

最好的零信任平臺可以同時保護機器、人員和身份存儲（Active Directory）免受網絡攻擊。

云、devops、安全、基礎設施和運營團隊也有各自的機器身份管理要求。不幸的是，安全廠商往往過度炒作或者歪曲其機器身份管理方法在混合云環境中的實用性。Black Hat 2022大會上兩個會議專門解釋了為什么機器身份最容易受到攻擊。

為人和機器身份管理提供IAM和PAM系統的主流供應商包括Amazon Web Services (AWS)、CrowdStrike、Delinea、Ivanti、Keyfactor、Microsoft、Venafi等。

廠商的零信任平臺對現有網絡安全投資的支持程度如何？

更先進的零信任平臺可以在API級別與安全信息和事件管理(SIEM)以及安全編排、自動化和響應(SOAR)平臺集成。因此，廠商是否與主流SIEM方案預集成或提供API支持是一個有價值的評估基準。

另一個需要考慮的因素是零信任平臺對Microsoft ADFS、Azure Active Directory、Okta、Ping Identity等云服務和單點登錄(SSO)的支持程度。還需要為CASB（云訪問安全代理）供應商提供SaaS（軟件即服務）保護的集成，例如Netskope和Zscaler。

是否支持基于風險的零信任政策方法？

最先進的零信任廠商提供具有動態風險模型的架構和平臺，僅在用戶和機器身份級別的風險發生變化時才挑戰用戶登錄和交易，在不犧牲用戶體驗的情況下確保持續驗證。

一流的基于風險的漏洞管理系統則集成了威脅情報，可以產生全面的風險評分，并嚴重依賴人工智能(AI)和基于機器學習的自動化來簡化風險評估。

專家級威脅獵手方案能夠將他們生成觀點和知識與特定的CVE聯系起來，為企業提供保護其基礎設施免受攻擊所需的數據。Delinea、IBM、Microsoft、Palo Alto Networks等公司都采用基于風險的方法來實現零信任。

廠商的架構和平臺是否符合NIST 800標準？

成功開發和部署零信任應用程序和平臺的廠商通常遵循NIST框架。NIST SP 800-207合規性給打算采用零信任解決方案的企業上了一道保險，這意味著如果CIO或CISO決定更換廠商，則無需大動干戈修改架構。CISO還應當多咨詢有過實施或變更零信任方案經驗的客戶，以獲得進一步的見解。

廠商是否將零信任整合到DevOps和SDLC周期中？

另一個有用的評估基準是考察廠商的零信任方案在開發運維和系統開發生命周期(SDLC)中的集成程度。

安全需要左移，從一開始就植入流程，而不是添加到DevOps項目的末尾。零信任平臺對DevOps和SDLC的人員和機器身份保護至關重要。聲稱能覆蓋SDLC和CI/CD的零信任廠商需要展示其API如何擴展和適應快速變化的配置、DevOps和SDLC要求。該市場領先的零信任供應商包括Checkmarx、Qualys、Rapid7、Synopsys和Veracode等。