> 返回 首页 > 精选文章 > 零信任 >企业面临零信任安全的6个意想不到的路障

企业面临零信任安全的6个意想不到的路障

发布时间:2023-05-27 17:44:00  来源:宁盾  点击量:

似乎每个人都在推崇零信任安全,甚至是美国总统拜登。


去年,拜登签署了一项行政命令,旨在将联邦政府迁移到一个零信任架构(ZTA)。


拜登说,政府采用 ZTA 是为了“在当今日益复杂的网络威胁环境下,使其应对网络安全的方法现代化”。美国总统办公室认为,网络安全框架将使各部门能够“加强访问控制”。


如果你在 IT 行业工作了足够长的时间,你可能知道当涉及到项目管理时,有一件事是真实的:期待意外。异常情况是不可避免的,现实也并不总是符合理想的。


尽管零信任安全得到了广泛的宣传,但到目前为止,只有23%的中小型企业(SME)完全采用了零信任安全计划。中小企业经常以没预算、没人、整合难和不懂为由不采用零信任(ZT)。


最常见的误解是,ZT 必须同时涉及几个移动部件。在本文中,我们会列举最常见的让 IT 经理们止步不前的零信任挑战,以及如何克服它们。



当现实未能满足零信任的期望时


“零信任”的概念很简单。它意味着任何设备、用户和应用程序在试图访问任何类型的 IT 资源时都必须首先得到验证。在安全框架中,“不相信任何东西,验证一切”的口号是无处不在的。


因此,在最开始进入受保护的网络时,企业不再给予绝对信任,而是在每次访问事务时根据上下文信息评估可信度的意见。


● 这是一个公认的用户身份、位置和设备吗?

● 用户能以多种方式验证其身份吗?

● 这个用户是否真的需要访问这些特定的文件、应用程序和端点来完成他们的工作?


诸如此类的问题在终端用户寻求网络访问时通过策略检查来回答。虽然理念简单,但从传统的内部安全计划过渡到全面的 ZT 模式不是一蹴而就的。


事实上,Forrester 发现这个过程从开始到结束平均需要1到3年。也就是说,一个小小的战略规划可以让你的零信任架构旅程更加顺利。以下是企业在转向零信任时遇到的最常见的6个路障:



抛开传统的技术


虽然为初创企业实施零信任架构(ZTA)很容易,但更多成熟企业必须处理他们现有的基础设施。而其中大多数都是严重过时的!


在用新的 ZTA 工具修改现有基础设施时,管理员必须采取预防措施。那些急于求成的人已经知道会减慢甚至破坏关键系统。此外,如果尚未实现投资回报率,彻底改造一个遗留系统是很昂贵的。


我们建议制定一个路线图,随着时间的推移逐步推出零信任安全要素。这样,你可以利用你现有的基础设施来优化成本。而且,你将大大减少遭遇重大“失误”的可能性。



有限的资源


像任何重要的部门努力一样,零信任活动需要人力、时间和财政方面的资源。一个经常被忽视的开支是对不熟悉的元素的配置和持续维护。


你的团队中是否有人知道如何设置 LDAP/RADIUS 等认证协议,创建用户策略,以及应用网络微分段?内部是否有人有额外的时间卷起袖子,成为你公司的 ZT 冠军?


如果没有,那就要做好外包技术专业服务的计划以弥补差距。此外,为持续的基础设施管理和支持编制预算。在启动零信任架构(ZTA)后遇到不熟悉的领域是企业未能取得长期成果的主要原因之一。


虽然外包的初始成本可能看起来令人望而却步,但不要低估长期的投资回报率。请一流的工程师来处理这一特定领域,使团队成员能够专注于基本任务。如果资金是个问题,优先考虑成本最低的举措,这些举措也将对 IT 安全产生最大的影响,同时企业也会积攒资金。


例如,配置多因素认证(MFA),要求更复杂的密码策略,以及设置移动设备管理,是一些简单的 ZT 策略,几乎任何企业都可以实现。



意外的许可费用


不管你喜不喜欢,世界正在迅速向软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)发展。


云计算的一个优势是其固有的系统不可知性,这一点应该引起 IT 人士的特别兴趣。由于 SaaS 应用程序在浏览器上运行,管理员很少需要担心操作系统的兼容性问题。以宁盾 NingDS 身份目录云为例,该平台的云架构支持 Windows、Linux 和 macOS 等多种设备的身份和访问管理。


但企业必须支付许可费来扩展此类服务。通常情况下,免费服务水平不能提供完整解决方案所需的足够支持、功能和特性。


虽然与传统系统的价格相比,企业可以负担得起,但对于消费能力有限的管理者来说,扩展成本仍然是个沉重的负担。一个审慎的解决方案是按照最小特权原则(PLP)限制许可。这样一来,IT 管理部门既可以 a)加强网络安全,作为零信任的一部分,又可以 b)减少开支。



用户采用率低下


低下的用户采用率将会使零信任计划沉没。根据麦肯锡的报告,组织中70%的变革计划由于员工的抵制而失败。


导致用户对 "零信任 "项目采用率低下的常见原因包括:


● 对零信任的误解

● 沟通不明确

● 缺乏对零信任架构的熟悉

● 无效和低效的培训


组建一个工作组,找出可能导致员工偷工减料或无法遵循指令的潜在瓶颈。此外,将培训课程纳入入职流程,确保每个人都知道如何管理特定的工具。



缺少领导支持


另一个阻碍一帆风顺的重要因素是领导层不了解建立零信任架构(ZTA)的意义。


顺利采用和长期成功取决于高级管理层的 "买入"。而这往往取决于 IT 管理员在以下参考点之间的联系有多好:


● 零信任实际上是怎样的?

● 我们需要什么技术、工具和资源?

● 我们现有的基础设施中的漏洞在哪里?

● 数据泄露的平均成本是多少?

● 被盗的数据可能给我们带来多大的损失?

● 数据泄露的情况有多普遍?


请记住:领导层不需要了解 “零信任”背后技术的细枝末节。然而,他们必须掌握在一个黑客日益狡猾的世界里,未能保护企业网络的严重性。



工具的不兼容性 


最后,一些企业急于购买零信任架构(ZTA)解决方案,但却发现它们与现有的基础设施不兼容。传统的技术系统往往与基于零信任的解决方案不兼容,无法满足零信任要求。


你可以通过升级你的基础设施轻松解决这一挑战。不必把一切都扔掉。考虑与一个足够灵活的供应商合作,根据你的确切要求定制他们的解决方案。


另外,你也可以转而使用与现有基础设施相匹配的工具。例如,宁盾身份目录为管理跨 Mac、Windows 和 Linux 设备的零信任政策提供了一个方便的整合平台。



用宁盾简化零信任


根据最近公开的倡议,以及远程办公的普及,预计围绕零信任安全的公共讨论将继续进行。


然而,正如本文所讨论的那样,意料之外的路障往往会导致原始意图和长期现实之间的不匹配。必须记住,零信任并不代表任何单一的技术;它是一个多方面的框架,涉及网络安全最佳实践、身份和访问管理工具、终端用户政策定制等等。


在行业专家的支持下,制定一个坚实的行动计划,以确保你的团队以最安全、最有效、最经济的方式来实施。



宁盾(www.nington.com)版权所有

—END—

企业级数字身份基础设施提供商
x