零信任安全性不是一个现成的产品
Paul Simmonds,Kuppingercole的分析师Paul Simmonds表示,许多安全供应商正在释放索赔的产品。“但是,确保您选择产品,”他告诉柏林库平宫网络安全领导峰会。
Simmonds警告安全领袖是谨慎的供应商的索赔,并检查他们是否只是跳上“Buzzwword Bandwagon”并重新偿还旧产品。
为了能够区分产品,安全领导者需要了解哪些零信任是什么,而且他说。
首先,零信任是一种建筑心态,说辛蒙斯。“这是关于安全架构正确完成的,而不是历史上发生的事情,安全产品已被螺栓固定在那里,”他说。
“你不能再这样做了。零信任是互联网和内联网之间没有区别的地方。“
Zero Trust是一个“业务启动器”,因为,正确完成,它使企业能够更快,更安全,因为它是流程和技术的组合,他说。“安全得到改善,因为它有效地阻止了组织内的横向运动。”
普遍认为,复杂性是安全的敌人,因为它鼓励最终用户和商业领袖来绕过安全性,说辛蒙德。
“零信任模型再次通过降低复杂性来提高安全性,如果您正确地,它将为每个人(包括商业伙伴)为统一的体验提供更大的灵活性和生产力,”他说。
另一方面,零步信不是信任没有人,说辛蒙斯,它不是“下一代周长”,它不是“VPN现代化”。
“这不是一个现成的产品,”他说。“你不能出去买它。你必须建立它。最重要的是,它是关于未来的架构。“
Simmonds表示,它也不是IT唯一的项目,因为业务必须不断参与。它不是一个单调的项目,它不是消除内联网。
他说,利用当前和未来的IT基础设施看起来与过去所做的事实不同,需要实施零信任模型的必要性。
随着移动工作和云服务的出现,我们需要更多的是安全技术行业的“坚持膏药”,使其在辛蒙斯表示复杂,异质的IT环境。
“那是我们今天的地方,”他说。“你猜怎么着?坏人带我们去乘车。明天的业务将非常像今天的情况一样,如5G和IPv6这样的东西,但我们将通过实施零信任模型来不同地考虑它。“
为了实现这一点,组织需要一个策略,因为“RIP和替换”将不起作用,因为大多数企业将无法负担得起,Simmonds表示。
“思考超越并专注于业务推动者,如减少基础设施复杂性,对混合云,企业移动和合规性的准备情况,”他补充道。
零信任策略的另一个重要元素是识别可能影响股价的关键资产,以及它们所在的次要资产。
“不要指望在一步中实现这一目标,并重复使用您可以的内容,并包含现有的安全性,监控和编排工具。”
企业应该专注于数据,Simmonds表示。“这包括资产发现,分类,识别敏感数据流,在休息和传输时加密所有敏感数据,并确保您具有数据安全性分析能力,以加快响应数据漏洞的时间。”
他说,身份是另一个关键组成部分。“您通过用户,设备和上下文标识将信任返回系统。”
涉及网络时,Simmonds表示,没有任何DMZ(非军事区)或VPN(虚拟专用网络),或任何“安全界”这样。
“它必须是应用程序和以用户为中心的,它必须具有身份验证和授权,但有多种方法可以实现它,”他说。
他说,选项包括网络微分段,软件定义的周长和身份感知代理。“这是关于架构对您的业务有权,并且在那里有很多东西可以用来建立这个。”
但辛蒙斯说,它总会有一些遗留物。“如果你要踏上这次旅程,你需要与业务理解,这是遗留的,需要保护,并找到最好的方法。”
他说,访问管理是另一个关键要素。“它需要基于最小的特权原则,集中,动态和自适应新的认证方法。”
最终,零信任意味着组织必须能够监控,检测,审计和适应,他说。“这不是一站式商店 - 购买它,贴合,忘记它。这是关于持续适应,这是一段旅程。“
作为零信任的一个例子,Simmonds在谷歌中引用了超级传递计划,该计划将访问控制转移到设备和用户,以使员工能够从任何位置更安全地工作,而无需传统的VPN。
“特派团声明是让每个谷歌员工从不受信任的网络成功地工作而不使用VPN - 他们已经完成了它,”他说。“他们已经进入了零信任环境。”
但辛蒙斯说,超越戈尔普并不完美。“这是一个很好的故事,但问题仍然是,只有当每个人都在一个特定的控制轨迹内播放,这一切都只有 - 在这种情况下,谷歌的。因此,只要您拥有一个Google设备,在Google环境内使用Google用户名,那么它将起作用。“
SIMMONDS表示,为组织的最佳实践建议是他们需要拥有零信任实施策略。“这是一种架构策略,您需要使用Internet Mindset设计内部,因为如果您可以在互联网上运行它,它将在内部网上更好地工作。”
虽然它将因企业而异,但Simmonds表示,安全领袖可能决定默认选择HTML 5交付,并使用Identity属性通过自适应身份验证,分段前端传统系统和设备提供安全性,并采用漏洞分析。 “修复一次并正确修复”心态。
他加了:“采用零信任方法的经营理由是它的工作方式,安全性喜欢说”是“而不是”否“。”