2021年6月3日,
2021年6月3日,
贡献:苏珊摩尔
安全和风险管理领导人需要超越零信任宣传和实施两个关键项目以降低风险。
从历史上看,安全模型依赖于一种“城堡护城河”架构,与企业网络数据中心在里面,和防火墙保护周边。
任何位于外被认为是不可信的。任何东西在里面被认为是可信的。
然而,信任基于分解当用户物理位置移动和外部合作伙伴需要访问的时候。它创造了过度的隐式信任——相信攻击者滥用。
了解更多:Gartner安全与风险管理峰会
“零信任”一词被广泛滥用的安全产品营销。然而,它是有用的作为一个速记的方式描述一个方法隐式信任是远离所有的计算基础设施。相反,信任水平明确,不断计算并适应允许即时,足够的访问企业资源。
“零信任是一种思维方式,而不是一个特定的技术或架构,”Gartner杰出的副总裁分析师说道尼尔·麦克唐纳。“这真是零隐式信任,这就是我们想摆脱。”
一个完整的零信任安全姿势可能永远不会完全实现,但是今天可以进行具体倡议。
Gartner建议组织希望实现零信任两个网络相关安全项目开始。为什么从网络开始?
TCP / IP网络连接建于一个信任可以假定。它建于连接人们和组织,而不是进行身份验证。网络地址是弱标识符。零信任网络计划使用身份为基础的新的周长。
在过去,当用户离开了“可信的”企业网络,vpn是用来扩展企业网络。如果攻击者窃取用户的凭证,他们可以很容易地访问企业网络。
零信任网络访问抽象和集中访问机制,以便安全工程师和员工可以负责。它授予适当的访问基于人类和他们的设备的身份,加上其他上下文如时间和日期、地理位置、历史使用模式和设备的姿势。结果是一个更安全的环境和弹性,改善灵活性和更好的监控。
很大程度上的改变远程工作在COVID-19 ZTNA流行产生了强烈的兴趣,与媒体头条宣称“VPN死了。”
尽管VPN采用置换是一种常见的司机,ZTNA通常会增加,而不是取代,VPN。通过允许用户访问他们需要什么,转向云ZTNA祭,你可以避免重载VPN的基础设施。
长远来看,这种零信任网络访问安全的姿势可以继续使用,当人们回到办公室。
基于身份的分割,也称为微或零信任分割,是一种有效的方式来限制网络中的攻击者的横向移动能力一旦他们得到。
基于身份的分割降低过度的隐式信任通过允许组织单个工作负载转移到“默认否认”而非“隐式允许”模式。它使用动态规则,评估工作负载和应用程序标识作为决定是否允许网络通信的一部分。
当启动一个基于身份的分割策略,从一个小的集合最关键的应用程序和服务器首次实现和扩展。
一旦你实现了ZTNA和基于身份的分割,继续其他措施延长一个零信任方法在你的技术基础设施。
例如,删除从终端用户系统远程管理权利,飞行员远程浏览器隔离解决方案,加密所有数据公共云并开始扫描集装箱,您的开发人员创建新的应用程序。
加入你的同行在Gartner会议上公布的最新见解。
Gartner的客户推荐资源*:
*请注意,某些文件可能不会Gartner提供给所有客户。