傳統的VPN已被更智能,更安全的網絡安全方法所取代,該方法將每個人都視為同樣不受信任。
數十年來一直為遠程工作者提供進入企業網絡的安全隧道的古老VPN,隨著企業遷移到更靈活,更精細的安全框架(稱為零信任)而面臨滅絕,該框架更適合當今的數字業務世界。
VPN是基於網絡外圍概念的安全策略的一部分。受信任的員工在內部,不受信任的員工在外部。但是,該模型不再適用於現代業務環境,在該環境中,移動員工可以從各種內部或外部位置訪問網絡,並且公司資產不位於企業數據中心的牆壁內,而是位於多雲環境中。
Gartner預測,到2023年,將有60%的企業淘汰大多數VPN,以支持零信任網絡訪問,這可以採取網關或代理的形式,在允許基於角色的上下文感知之前對設備和用戶進行身份驗證訪問。
與安全性周邊方法相關聯的缺陷很多。它沒有解決內部攻擊。對於承包商,第三方和供應鏈合作伙伴而言,它做得不好。如果攻擊者竊取某人的VPN憑據,則攻擊者可以訪問網絡並自由漫遊。另外,隨著時間的流逝,VPN已變得複雜且難以管理。“ VPN帶來很多痛苦,”愛荷華州埃姆斯市企業軟件公司Workiva的高級安全架構師Matt Sullivan說。“坦率地說,它們笨拙,過時,要管理的東西很多,而且有些危險,它們有些危險。”
在更根本的層面上,任何關注當今企業安全狀態的人都知道,我們現在所做的一切都無法正常工作。Forrester首席分析師Chase Cunningham說:“基於邊界的安全模型已經徹底失敗了。” “並不是因為缺乏努力或缺乏投資,而是因為它是建立在紙牌屋上的。如果一件事情失敗了,那麼一切都會成為受害者。我與之交談的每個人都相信這一點。”
坎寧安(Cunningham)在Forrester承擔了零信任的責任,現在位於帕洛阿爾託網絡(Palo Alto Networks)的分析師喬恩·金德瓦格(Jon Kindervag)於2009年開發了零信任安全框架。這個想法很簡單:不信任任何人。驗證每個人。實施嚴格的訪問控制和身份管理策略,以限制員工訪問其工作所需的資源,僅此而已。
451 Group的首席分析師加勒特·貝克爾(Garrett Bekker)表示,零信任不是產品或技術。這是對安全性的另一種思考方式。“人們仍然在圍繞著這意味著什麼。客戶感到困惑,而供應商對於零信任的含義卻不一致。但是我相信它有可能從根本上改變安全的方式。”
安全廠商擁抱零信任
儘管事實上零信任框架已經存在了十年,並且引起了相當大的興趣,但直到最近一年左右,企業採用才開始興起。根據451集團最近的一項調查,只有大約13%的企業甚至開始了零信任之路。關鍵原因之一是供應商步伐緩慢。
零信任的成功典範可以追溯到2014年,當時Google宣佈了其BeyondCorp計劃。谷歌投入了大量的時間和金錢來建立自己的零信任度實施方案,但是企業卻無法效仿,因為他們不是谷歌。
但是,零信任正在日益受到關注。“技術終於趕上了願景,”坎寧安說。“五到七年前,我們還沒有能夠實現這類方法的功能。我們開始看到有可能。”
如今,供應商從各個角度零信任。例如,針對現在稱為零信任擴展生態系統(ZTX)的最新Forrester Wave包括下一代防火牆供應商Palo Alto Networks,託管服務提供商Akamai Technologies,身份管理供應商Okta,安全軟件領導者Symantec,微細分專家Illumio和特權訪問管理供應商Centrify。
順帶一提,思科,微軟和VMware都提供零信任產品。根據Forrester Wave的調查,思科和微軟被評為表現出色的企業,而VMware則是競爭者。
因此,投入了數百萬美元用於建立和加強其外圍防禦的企業如何突然換檔並採用一種模型,將所有人(無論是在公司總部內部工作的高管還是在星巴克工作的承包商)都視為同樣不信任?
如何開始使用零信任安全模型
第一個也是最明顯的建議是從小處著手,或者像坎寧安所說的那樣,“嘗試煮一小撮水而不是整個海洋。”他補充說:“對我來說,第一件事就是照顧賣家和第三方”,找到一種將它們與網絡其餘部分隔離的方法。
Gartner分析師尼爾·麥克唐納(Neil MacDonald)表示同意。他確定了三種新興的零信任用例:針對供應鏈合作伙伴的新移動應用程序,雲遷移方案和針對軟件開發人員的訪問控制。
他的DevOps和IT運營團隊的訪問控制正是Sullivan在Workiva實施的,Workiva是一家IT基礎架構完全基於雲的公司。Sullivan一直在尋找一種更有效的方法,使他的團隊可以通過雲訪問特定的開發和暫存實例。他放棄了傳統的VPN,轉而使用ScaleFT的零信任訪問控制,該公司最近被Okta收購。
Sullivan說,現在,當新員工拿起筆記本電腦時,該設備需要得到管理員的明確授權。為了訪問網絡,員工連接到應用適當的身份和訪問管理策略的中央網關。
Sullivan說:“將零信任作為一個概念已經過時了。” “這顯然是正確的方法,但是在企業級解決方案問世之前,我們花了近十年的時間抱怨和抱怨。”
以網絡為中心或以身份為中心的零信任
Bekker說,供應商的格局正在圍繞兩個陣營合併:有一個以網絡為中心的小組,其工作重點更多地放在網絡分段和應用感知防火牆上,還有一個以身份為中心的陣營,它們傾向於網絡訪問控制和身份管理。
FNTS的CISO Robert LaMagna-Reiter採取了以網絡為中心的路線,這是一家位於內布拉斯加州奧馬哈的託管服務提供商,他使用來自Palo Alto的零信任安全堆棧對基礎架構進行了大修。LaMagna-Reiter表示,幾年前,他獲得了獨特的機會,從根本上入手,建立了公司雲服務平臺的下一個迭代版本,以便可以擴展到多雲世界。
LaMagna-Reiter說:“零信任使我們能夠更精細地執行人們每天的工作。” 他將零信任計劃的成功歸功於廣泛的前期基礎工作,該工作是充分了解員工角色,確定員工完成工作所需的資產和應用程序以及監視員工在網絡上的行為的基礎。
他從非關鍵支持應用程序的有限部署開始,然後逐步發展,並從公司的業務主管那裡獲得支持。他說:“我們向人們展示,這不是技術決定,而是商業策略。”
Entegrus是加拿大安大略省的一家能源分銷公司,同樣致力於實現零信任,但其方法以網絡訪問控制為中心。戴維·庫倫(Dave Cullen)知道,由於維護和維修人員,儀表技術員和現場服務代表的流動人員遍佈廣泛的地理區域,每個區域都攜帶多個設備,因此,他的攻擊面很廣,需要加以保護。
Entegrus的信息系統經理Cullen表示:“我們有業務要求開始重建我們的網絡。” 網絡大修的必要性使庫倫有機會開始零信任路徑。他決定與PulseSecure合作,以部署其基於零信任的遠程訪問和網絡訪問控制工具。Cullen表示,產品無縫配對至關重要,這樣Cullen可以在員工連接到網絡時應用策略。
“我們將它慢慢引入,”庫倫說,他採用了一種分階段的方法,需要在實驗室環境中進行試點項目並進行調整,然後再進行現場部署。首要任務是確保零信任基礎架構對員工而言是無縫的。
“對我的零信任更多地是關於智能業務流程和數據流以及業務需求。這不僅僅是使用防火牆和網絡分段。實際上,更多的是動態響應不斷變化的環境。” Cullen補充說。
Forrester的坎寧安(Cunningham)承認,過渡到零信任會帶來一定程度的痛苦。但是他以這種方式描述了這些選擇:“您是現在寧願遭受一點痛苦並使其正確,還是長期遭受痛苦並結束下一個大型故障通知?”
零信任:為未知的,永無止境的旅程做準備
對於考慮零信任的任何人,這裡有兩個關鍵要點。首先,沒有零信任部署路線圖,沒有行業標準,也沒有廠商聯盟,至少目前還沒有。您必須自己思考摸索。
“沒有單一的策略。有100種撓癢的方法。它能以最少的阻力為您提供最大的控制權和最大的可視性,”坎寧安說。
第二,旅程永遠不會結束。LaMagna-Reiter指出:“永遠不會有完成的狀態。沒有明確的成功定義。” 零信任是一個持續不斷的過程,可幫助公司應對不斷變化的業務狀況。
閱讀更多 包工頭突圍 的文章
