零信任的四大误区

11年前诞生的零信任安全模型已被网络安全产业的思想领袖和企业CISO们广泛接受。而当拥有无穷预算和资源的Google通过BeyondCorp项目践行和验证了零信任框架的有效性后，零信任安全模型进入了产品化和商业化的快车道。但是今天，对于大多数企业来说，通往零信任的道路上依然布满了陷阱和误区。

[[391875]]

11年后，很多IT和安全决策者依然难以就零信任达成战略上的共识。不同企业的IT和安全基础设施的差距、需求的差异化、零信任架构对持续改进能力和投入的要求，导致很多企业甚至难以迈出第一步。

根据2021年2月26日美国国家安全局(NSA)发布的零信任指南，零信任方法有四个关键点：

协调主动的系统监控、系统管理和防御性安全运营能力;
假设所有对关键资源和网络流量的请求都可能是恶意的;
假设所有设备和基础架构都可能受到威胁;
承认对关键资源的所有访问授权均会带来风险，并随时准备执行快速的损害评估，控制和恢复操作。

但现实是，假定所有设备、基础设施和流量都会遭遇入侵不仅在董事会上会炸锅，在SOC中也是徒劳的。不幸的是，像零信任框架这样的方法体系无法提供实用性指导，例如清晰详细的建议或后续实施步骤，这导致一些零信任采用者给后来者挖了很多大坑。

常见的零信任误区

在进一步讨论之前，我们先回顾一下零信任的六个基本组件：

身份：描述、验证和保护所有的企业账户。这包括整个云、本地和远程资产中的所有用户、服务、API和其他拥有访问权限的账户。
资产：扫描发现与企业IT环境有关的所有资产。与身份一样，企业需要描述、验证和保护任何位置的所有资产，包括：云、本地和远程。在授予资产访问权限之前，请确保安全管理已经就绪。
应用程序：将所有影子IT、影子云和(员工)自带应用程序转换为托管和受保护的应用程序。根据当前的分析和需求减少访问量。监视、控制和纠正用户权限。
数据：在整个ELT/ETL以及应用程序中，在其存储库中识别、分类和标记数据。将注意力从控制周边转移到控制数据访问。根据分类标签和内部策略对访问进行加密和控制。
基础架构：采用最小特权访问或“默认拒绝”原则，监视异常和可疑攻击并发出警报。使用自动化来阻止异常和危险行为。
网络：明确高风险或高价值数据的网络区域。通过风险和价值来划分不同的网络区域，并通过策略来限制访问。在内部网络中部署加密。确保设备和用户不因位于内部网络中而受到信任。

以下是企业在实施零信任框架或方案时，应该避免的四个常见误区：

误区1：选择一个重要的应用程序作为试验场

这是很常见的一个误区，因为从单个应用开始验证零信任的有效性似乎更容易。但困难在于您不知道这个应用与其他应用程序的互连，它的访问途径以及哪些用户需要对应用程序的访问权限。

零信任要求对每个应用程序进行细分，将它们彼此隔离。由于企业内部通常缺乏有关应用程序交互方式的知识和信息，因此从特定应用程序切入非常困难。

更好的选择是从应用程序生态系统的细分入手。然后，你可以控制对该应用程序的访问，而不必担心服务交付失败。从处理应用程序生态系统入手意味着你可以将注意力集中在用户到应用程序的交互边界上，而不必同时处理用户到应用程序、应用程序到应用程序，以及应用程序到基础结构的边界，这会让你崩溃。

误区2：专注于身份

大多数实施零信任的企业都会掉入一个陷阱，那就是零信任方案需要理解和定义企业中的每个身份。最初，这似乎很简单，但随后你会发现身份主体还包括大量服务、机器和应用程序。火上浇油的是，身份项目还必须包含权限，并且每个应用程序都有其自己的授权架构，且没有标准化。总之，仅专注于身份会让你掉入无休止的项目开发泥沼。

正确的做法是将重点放在用户账户上。我们从应用程序生态系统入手的目的是关注用户和应用程序边界。身份方面，应该从交互式登录入手，例如用户执行操作前需要访问账户。通过使用证书和循环凭证来代替通用登录，确保不可否认性。

误区3：在任何地方向任何设备提供向任何应用程序的访问权限都会导致丢掉工作

大多数董事会的高管们对零信任的理解都比较“简单粗暴”，那就是：零信任就是可以用任何设备开展业务的一种方式。这实际上是“零信任主义”安全业务双赢的终极目标和结果。对于刚刚开始实施零信任的团队来说，直奔“最高纲领”会让你的防御系统漏洞百出。事实上，零信任的目的是从技术上表达对任何设备或网络的不信任态度(原则)。这是一个安全原则和范型的转移，也是一个循序渐进的过程。

首先，提供对正确应用程序的正确身份访问，并确保这些用户及其访问之间存在细分。接下来，将已批准的设备移至可对设备或用户进行身份验证的位置(确保已建立对应的身份验证基础结构)。一旦建立零身份验证基础设施，你就可以进一步扩展可访问网络的设备类型。