甲方企业零信任选型的五个基准测试问题
零信任是近年来发展最迅猛的网络安全细分市场之一,根据Gartner的最新预测,到2026年,最终用户在零信任方面的支出将从2022年的8.919亿美元飙升至超过20亿美元。
零信任到底包括那些技术和产品?
在这个“言必称零信任”的时代,甲方企业的零信任道路上布满了暗坑,因为很多网络安全厂商的零信任方案和路线与甲方需求脱节,并不能解决企业面临的现实问题。这种产品与需求的脱节始于最初的销售周期,厂商热衷宣传和承诺自己的零信任方案具备易用性、简化的API集成和响应式服务,但企业购买部署后却发现“现实很骨感”,不但方案达不到预期效果,还产生了很多意料之外的新问题。
“网络安全厂商有一个不太好的习惯,就是总喜欢把多年来销售的各种安全产品都打包到‘零信任’里面,”Forrester高级分析师大卫霍姆斯指出:“这种情况太普遍了。但实际上,零信任专有的技术并不多,例如:零信任网络访问(ZTNA)、微分段和PIM/PAM(特权身份管理/特权访问管理)。许多其他安全技术,例如身份和访问管理(IAM)、网络自动化和端点加密,可用于支持零信任方案,但它们本身并不是(原生的)零信任技术。通常来说,不是安全厂商专为零信任设计开发的产品,都不应归类为零信任产品。”
CISO的零信任优先事项
为了确保资金到位并说服高级管理层对零信任进行更多投资,CISO喜欢追求快速、可见的、展现价值的成就或应用。IAM和PAM通常是CISO着手的第一个重要零信任项目。此外,CISO还希望在他们的应用程序、技术堆栈和交易路径上实现零信任。为此,CISO们正在寻找更有效的方法来建设和强化零信任网络框架的技术堆栈。许多人发现,集成和防护零信任技术堆栈比预期的要复杂得多,而且成本更高。
另外一个CISO优先考虑的重点事项是如何利用现有安全工具遵循零信任方法来保护网外资产。SolarWinds供应链攻击漏洞之后,CISO们开始担心将零信任整合到DevOps周期中会产生新的安全问题。因此,在支持零信任的网络中实现更安全、更高效的协作也是一个优先事项。
CISO常遇到的另一个坑是安全厂商经常宣称其零信任方案可以为技术堆栈和基础设施提供“全覆盖”。CISO必须以怀疑的眼光和审视厂商对其零信任方案的宣传,通过尽职调查了解实际交付的内容,因为零信任不是一个盒子、一个产品,而是一组技术堆栈、一种成熟度和能力。
最后,CISO还必须关注零信任安全厂商能否从他们销售的解决方案中消除隐含信任。
虽然从技术堆栈中消除隐含信任非常困难,但供应商需要致力于修改他们的系统和平台以真正遵循零信任原则。“隐含信任问题在整个IT基础设施中十分普遍。那么,你打算从哪里开始呢?你打算怎么做?”这就是CISO要拷问厂商的问题。
永不信任,始终测试:对零信任厂商的五项基准测试
企业IT和安全团队意识到,随着IT基础设施适应不断变化的风险要求,零信任架构也将不断发展变化。不断增加的机器身份、新的网外端点和IT系统整合使零信任计划成为一项持续进行的工作。
从技术堆栈中移除隐含信任、在用户之间采用最低特权访问以及替换VPN是一个缓慢的过程,CISO不能被某些厂商的所谓“一次性交付”的虚假宣传所误导。
因此,甲方企业的CISO需要通过一些基准测试来评估安全厂商的零信任方案,以下我们列举五个常见的零信任基准测试问题:
一、人员和和机器身份的IAM和PAM是厂商零信任平台的核心吗?
IAM和PAM是企业提高零信任实施成功率的首选入门产品,因为二者实施快,见效快。评估厂商宣传真实性最好的办法就是调查该厂商是否有客户运行同时覆盖机器和人员身份的IAM和PAM方案。
最好的零信任平台可以同时保护机器、人员和身份存储(Active Directory)免受网络攻击。
云、devops、安全、基础设施和运营团队也有各自的机器身份管理要求。不幸的是,安全厂商往往过度炒作或者歪曲其机器身份管理方法在混合云环境中的实用性。Black Hat 2022大会上两个会议专门解释了为什么机器身份最容易受到攻击。
为人和机器身份管理提供IAM和PAM系统的主流供应商包括Amazon Web Services (AWS)、CrowdStrike、Delinea、Ivanti、Keyfactor、Microsoft、Venafi等。
二、厂商的零信任平台对现有网络安全投资的支持程度如何?
更先进的零信任平台可以在API级别与安全信息和事件管理(SIEM)以及安全编排、自动化和响应(SOAR)平台集成。因此,厂商是否与主流SIEM方案预集成或提供API支持是一个有价值的评估基准。
另一个需要考虑的因素是零信任平台对Microsoft ADFS、Azure Active Directory、Okta、Ping Identity等云服务和单点登录(SSO)的支持程度。还需要为CASB(云访问安全代理)供应商提供SaaS(软件即服务)保护的集成,例如Netskope和Zscaler。
三、是否支持基于风险的零信任政策方法?
最先进的零信任厂商提供具有动态风险模型的架构和平台,仅在用户和机器身份级别的风险发生变化时才挑战用户登录和交易,在不牺牲用户体验的情况下确保持续验证。
一流的基于风险的漏洞管理系统则集成了威胁情报,可以产生全面的风险评分,并严重依赖人工智能(AI)和基于机器学习的自动化来简化风险评估。
专家级威胁猎手方案能够将他们生成观点和知识与特定的CVE联系起来,为企业提供保护其基础设施免受攻击所需的数据。Delinea、IBM、Microsoft、Palo Alto Networks等公司都采用基于风险的方法来实现零信任。
四、厂商的架构和平台是否符合NIST 800标准?
成功开发和部署零信任应用程序和平台的厂商通常遵循NIST框架。NIST SP 800-207合规性给打算采用零信任解决方案的企业上了一道保险,这意味着如果CIO或CISO决定更换厂商,则无需大动干戈修改架构。CISO还应当多咨询有过实施或变更零信任方案经验的客户,以获得进一步的见解。
五、厂商是否将零信任整合到DevOps和SDLC周期中?
另一个有用的评估基准是考察厂商的零信任方案在开发运维和系统开发生命周期(SDLC)中的集成程度。
安全需要左移,从一开始就植入流程,而不是添加到DevOps项目的末尾。零信任平台对DevOps和SDLC的人员和机器身份保护至关重要。声称能覆盖SDLC和CI/CD的零信任厂商需要展示其API如何扩展和适应快速变化的配置、DevOps和SDLC要求。该市场领先的零信任供应商包括Checkmarx、Qualys、Rapid7、Synopsys和Veracode等。
