很多公司在安全合规的促使下,已经部署了很多安全设备,如防火墙,VPN,IPS,IDS,WAF等等。在业内人士看来,已经很安全了。如果要转型升级到零信任,如何可以快速转型,并且确保以前的投资仍然有收益呢?
为什么要做零信任,即使是零信任应该也得用目前的安全设备构建吧,网上推崇零信任的概念的厂家也都是国内的一些安全厂商,最终目的也肯定是为了推广自己的产品,所以放心的说是所有的安全产品都应该可以用,只是策略估计会收的更紧,目前的安全策略来看,应该都是依据全部拒绝然后再按需放开的原则,所谓的零信任是不是要全部拒绝呢?看到网上目前对于零信任有很多负面的评价,毕竟没有绝对的安全,真正的零信任事实并非完全达到宣传的程度,所以笔者认为不用刻意为之
收起随着业务发展和安全的威胁变化,安全风险逐步从外部扩展到内部网络且速度越来越快,以往的安全设备聚焦在某个点或某个区域的有特定安全规则的防护,很难检测确认基于内部访问的安全风险(例如0day攻击或是用已泄漏的 VPN 账户对内部的访问等);另外大量的误报或未收敛的安全告警也将真正的攻击淹没在海量日志中;现有的安全设备也很难实现对攻击过程的整体回溯
它的原则是基于所有的资源都不是天生可信,需要经过评估;对资源的访问需要持续验证,永不信任。
1、零信任首先要解决的是综合验证(增强身份治理),类似于企业的统一身份验证(用户常用的登陆场景:如IP、浏览器、Cookie、系统版本、终端安全软件、日常访问时间、访问的业务系统等)
2、要有获取内网数据、分析内网日志的探针设备和关联分析能力。能够对接 FW、VPN、IPS、IDS、WAF 设备的日志,综合分析并收敛整合确实存在安全风险的日志,能够持续学习优化
3、具备攻击的全局视野并呈现攻击链(包括整合信息情报等)
因此转型升级到零信任的架构首先是观念的升级,从最终的效果上评估最终实现内外网无差别的访问体验和安全防护。一般优先考虑访问控制,然后逐步完善并优化,现有的安全设备接入零信任架构(至少完成日志的接入)
收起零信任主要对象还是面向接入终端类设备……通过限制接入终端保证入网设备都是和信终端。所以零信任和waf和ips这些安全检测类设备到没太大关系。通常场景在设备准入XDR和sslvpn这类设备上下文章。
收起