今日頭條
官方微信
官方抖音
資訊頻道我們的目標(biāo)不應(yīng)該僅僅是接受零信任,還要獲得建立真正的信任所需的可見(jiàn)性。
“零信任”這個(gè)詞是佛瑞斯特研究所在2010年提出的,其概念也是谷歌在同時(shí)期設(shè)計(jì)的BeyondCorp架構(gòu)的核心理念。公司企業(yè)歷來(lái)假設(shè)自己的內(nèi)部網(wǎng)絡(luò)是安全的,谷歌挑戰(zhàn)這一傳統(tǒng)認(rèn)知,聲稱公司網(wǎng)絡(luò)不比公共互聯(lián)網(wǎng)安全多少,每家公司都需要一個(gè)默認(rèn)不信任任何人的安全架構(gòu)。佛瑞斯特研究所則將這一概念更多地描述為邊界外數(shù)據(jù)與計(jì)算的必要框架,而不是什么網(wǎng)絡(luò)安全的神話破滅。
無(wú)論公司網(wǎng)絡(luò)安全與否,傳統(tǒng)信任仲裁者——下一代防火墻、VPN、Web網(wǎng)關(guān)、網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)數(shù)據(jù)防丟失等,在邊界外都沒(méi)什么價(jià)值。因?yàn)樗行碌钠髽I(yè)應(yīng)用創(chuàng)新基本都發(fā)生在云端而不是邊界內(nèi)的現(xiàn)場(chǎng),這一問(wèn)題越來(lái)越嚴(yán)重,無(wú)法在邊界外執(zhí)行計(jì)算的公司將很快被時(shí)代拋棄。
每家公司都必須找出自己的零信任問(wèn)題解決之道。
零信任到底是什么? 信任基于可見(jiàn)性。只要能看到數(shù)據(jù)流向和評(píng)估相應(yīng)的風(fēng)險(xiǎn),就能對(duì)該環(huán)境中的數(shù)據(jù)訪問(wèn)授權(quán)做出明智的決策。但如果可見(jiàn)性為零,那就只有假定零信任了。看不到的東西當(dāng)然不能賦予信任。 因?yàn)閭鹘y(tǒng)安全解決方案對(duì)邊界外的可見(jiàn)性幾乎為零,隨著數(shù)據(jù)飛速蔓延到橫跨移動(dòng)終端和云服務(wù)的信息網(wǎng)絡(luò),公司企業(yè)的盲點(diǎn)也在快速增加。 我們的目標(biāo)不應(yīng)只是接受零信任,而是要獲得能在零信任世界中建立信任所需的可見(jiàn)性。沒(méi)有信任,你就無(wú)法賦能用戶。缺乏賦能,用戶就無(wú)法完成自己的工作。個(gè)中挑戰(zhàn)就在于如何在確保業(yè)務(wù)數(shù)據(jù)安全的情況下提供給用戶完成工作所需的服務(wù)。 每家公司都需要實(shí)現(xiàn)新的信任模型。 用戶信任就足夠了嗎? 邊界之外有一種信任元素是傳統(tǒng)安全基礎(chǔ)設(shè)施仍可驗(yàn)證的:用戶信任。通常都能確認(rèn)用戶是否是他們自己聲稱的人物。但這就足夠了嗎?顯然不夠。 用戶信任是現(xiàn)代信任模型中最基本的元素,是必要條件,但不是充分條件。原因在于:非可信環(huán)境中的受信用戶也不應(yīng)該擁有對(duì)公司數(shù)據(jù)的訪問(wèn)權(quán)。上下文很重要。 舉個(gè)例子。假設(shè)A欠B一萬(wàn)塊錢。他們可以約定還錢的地點(diǎn)。可以在A家中,也可以在城里流氓匯集的街區(qū)街角。人還是那個(gè)人,可信的人,但兩種環(huán)境下A把錢交到B手里的意愿可就完全不同了。家里安全的環(huán)境下,還錢交易能夠成功實(shí)施。治安很差的街角,B很容易在接過(guò)錢的下一秒就被搶。用戶信任明顯不夠。零信任環(huán)境中,上下文也是建立信任的關(guān)鍵一環(huán)。 開(kāi)啟信任的3個(gè)步驟 風(fēng)險(xiǎn)與信任相互平衡。不要假定高風(fēng)險(xiǎn)就只能賦予低權(quán)限,因?yàn)檫@種假定會(huì)導(dǎo)致用戶無(wú)法完成其工作。環(huán)境中風(fēng)險(xiǎn)越高,你越要努力建立足夠的信任以合理化對(duì)企業(yè)數(shù)據(jù)的訪問(wèn)。 與安全領(lǐng)域中大多數(shù)事務(wù)類似,從基本做起,建立基礎(chǔ)的過(guò)程與架構(gòu),是最重要的步驟: 第一步:從用戶開(kāi)始 技術(shù)是第二位的。首先要了解業(yè)務(wù)用戶想要擁有的工作環(huán)境,而不是你想讓他們所處的工作環(huán)境。否則,你就是在沒(méi)人要用的環(huán)境中建立信任,做無(wú)用功,而真正的工作和實(shí)際的數(shù)據(jù)流完全處于你的視野之外,毫無(wú)防護(hù)。 第二步:重視邊界 移動(dòng)設(shè)備和應(yīng)用已成為員工消費(fèi)數(shù)據(jù)和訪問(wèn)業(yè)務(wù)服務(wù)的重要途徑。這意味著數(shù)據(jù)將存在于不斷增多的移動(dòng)設(shè)備上。公司企業(yè)需設(shè)置設(shè)備上的數(shù)據(jù)邊界,防止業(yè)務(wù)應(yīng)用將數(shù)據(jù)泄漏給消費(fèi)者應(yīng)用,同時(shí)還要保護(hù)好個(gè)人隱私。 第三步:設(shè)想變化 不妨設(shè)想為“動(dòng)態(tài)信任”而非“零信任”。現(xiàn)代計(jì)算中的上下文是動(dòng)態(tài)的。移動(dòng)端和云端的本質(zhì)就是變化:設(shè)備在網(wǎng)絡(luò)與網(wǎng)絡(luò)、地點(diǎn)與地點(diǎn)間移動(dòng);新應(yīng)用不斷被下載;配置不斷被修改。關(guān)鍵就在于要建立起自動(dòng)化、層次化合規(guī)模型,監(jiān)視上下文變動(dòng)并自動(dòng)采取合適的動(dòng)作,比如通知用戶、請(qǐng)求第二驗(yàn)證因子、擴(kuò)展權(quán)限或封鎖權(quán)限,以及提供或撤銷App。 建立真正的信任 我們的目標(biāo)是在傳統(tǒng)安全方法舒適區(qū)外的碎片化信息網(wǎng)絡(luò)中保護(hù)數(shù)據(jù)。現(xiàn)代訪問(wèn)決策需要不斷的評(píng)估,因?yàn)樯舷挛囊恢痹谧兓鹘y(tǒng)防火墻“非內(nèi)即外”的靜態(tài)模型不再適用,通往現(xiàn)代安全的正確路徑是切換到動(dòng)態(tài)模型上來(lái)。 真正的信任是用戶信任與上下文信任的結(jié)合:操作系統(tǒng)、設(shè)備、App、網(wǎng)絡(luò)、時(shí)間、地點(diǎn)。在零信任環(huán)境中建立真正的信任,作為自動(dòng)化合規(guī)模型的中心環(huán)節(jié),可以賦予用戶既能完成工作又能確保公司數(shù)據(jù)不失所需的自由。 來(lái)源:安全牛
北京市公安局海淀分局備案號(hào):11010802023656號(hào)