我们的目标不应该仅仅是接受零信任,还要获得建立真正的信任所需的可见性。
“零信任”这个词是佛瑞斯特研究所在2010年提出的,其概念也是谷歌在同时期设计的BeyondCorp架构的核心理念。公司企业历来假设自己的内部网络是安全的,谷歌挑战这一传统认知,声称公司网络不比公共互联网安全多少,每家公司都需要一个默认不信任任何人的安全架构。佛瑞斯特研究所则将这一概念更多地描述为边界外数据与计算的必要框架,而不是什么网络安全的神话破灭。
无论公司网络安全与否,传统信任仲裁者——下一代防火墙、VPN、Web网关、网络访问控制、网络数据防丢失等,在边界外都没什么价值。因为所有新的企业应用创新基本都发生在云端而不是边界内的现场,这一问题越来越严重,无法在边界外执行计算的公司将很快被时代抛弃。
每家公司都必须找出自己的零信任问题解决之道。
零信任到底是什么?
信任基于可见性。只要能看到数据流向和评估相应的风险,就能对该环境中的数据访问授权做出明智的决策。但如果可见性为零,那就只有假定零信任了。看不到的东西当然不能赋予信任。
因为传统安全解决方案对边界外的可见性几乎为零,随着数据飞速蔓延到横跨移动终端和云服务的信息网络,公司企业的盲点也在快速增加。
我们的目标不应只是接受零信任,而是要获得能在零信任世界中建立信任所需的可见性。没有信任,你就无法赋能用户。缺乏赋能,用户就无法完成自己的工作。个中挑战就在于如何在确保业务数据安全的情况下提供给用户完成工作所需的服务。
每家公司都需要实现新的信任模型。
用户信任就足够了吗?
边界之外有一种信任元素是传统安全基础设施仍可验证的:用户信任。通常都能确认用户是否是他们自己声称的人物。但这就足够了吗?显然不够。
用户信任是现代信任模型中最基本的元素,是必要条件,但不是充分条件。原因在于:非可信环境中的受信用户也不应该拥有对公司数据的访问权。上下文很重要。
举个例子。假设A欠B一万块钱。他们可以约定还钱的地点。可以在A家中,也可以在城里流氓汇集的街区街角。人还是那个人,可信的人,但两种环境下A把钱交到B手里的意愿可就完全不同了。家里安全的环境下,还钱交易能够成功实施。治安很差的街角,B很容易在接过钱的下一秒就被抢。用户信任明显不够。零信任环境中,上下文也是建立信任的关键一环。
开启信任的3个步骤
风险与信任相互平衡。不要假定高风险就只能赋予低权限,因为这种假定会导致用户无法完成其工作。环境中风险越高,你越要努力建立足够的信任以合理化对企业数据的访问。
与安全领域中大多数事务类似,从基本做起,建立基础的过程与架构,是最重要的步骤:
第一步:从用户开始
技术是第二位的。首先要了解业务用户想要拥有的工作环境,而不是你想让他们所处的工作环境。否则,你就是在没人要用的环境中建立信任,做无用功,而真正的工作和实际的数据流完全处于你的视野之外,毫无防护。
第二步:重视边界
移动设备和应用已成为员工消费数据和访问业务服务的重要途径。这意味着数据将存在于不断增多的移动设备上。公司企业需设置设备上的数据边界,防止业务应用将数据泄漏给消费者应用,同时还要保护好个人隐私。
第三步:设想变化
不妨设想为“动态信任”而非“零信任”。现代计算中的上下文是动态的。移动端和云端的本质就是变化:设备在网络与网络、地点与地点间移动;新应用不断被下载;配置不断被修改。关键就在于要建立起自动化、层次化合规模型,监视上下文变动并自动采取合适的动作,比如通知用户、请求第二验证因子、扩展权限或封锁权限,以及提供或撤销App。
建立真正的信任
我们的目标是在传统安全方法舒适区外的碎片化信息网络中保护数据。现代访问决策需要不断的评估,因为上下文一直在变化。传统防火墙“非内即外”的静态模型不再适用,通往现代安全的正确路径是切换到动态模型上来。
真正的信任是用户信任与上下文信任的结合:操作系统、设备、App、网络、时间、地点。在零信任环境中建立真正的信任,作为自动化合规模型的中心环节,可以赋予用户既能完成工作又能确保公司数据不失所需的自由。 |