通过炒作 - 零信任安全模型的现实漏洞

由J. Haber,CTO,BeyiteTrust

零信任安全模型将可信网络的体系结构重新定义了定义的公司周边内的可信网络。今天,这是相关的,因为云,devops和物联网等技术和流程已经模糊或完全解散,传统周长的想法。但是,虽然零信任已经成为其在中东的时尚级别,但在实践中,它仍然是一个理论概念,而不是组织可以实现的理论概念,因为几个原因。

遗留内部应用

如果您的组织开发了自己的内部消费软件,并且应用程序超过几年,您可能会有技术债务。松散定义,技术债务是指基于旧的或过时技术的解决方案,这些技术不会用于今天开发新的解决方案。在COBOL中写的申请是技术债务的极端例子。

今天,重新设计,录制和重新部署申请来取代技术债务可能是昂贵和潜在的破坏性的。需要严重的业务需要进行这些类型的举措。向现有应用程序添加安全参数以使它们为零信任感知并不总是可行的。您现有的应用程序今天没有设施可以满足零信任模式。

因此,根据您在自定义应用程序上的依赖性程度上,这将决定您是否可以为这些过程采用零信任,并可能确定所需的努力和成本。当应用程序不是微观周长兼容的应用程序时,这在实例中尤其如此,或缺少应用程序编程接口(API)来支持零信任实现所需的自动化。

遗产基础设施

传统的基础架构和网络设备肯定不是归零信任感知。它们没有最小特权或横向移动的概念,并且它们不具有可动态允许基于上下文使用的修改的认证模型。

任何零信任实现都需要分层或包装器,以启用这些系统的方法。但是,分层方法需要将外部访问缠绕对资源,并且很少可以与系统本身进行交互。这会破坏零信任的前提。您无法监视不兼容应用程序中的行为。您可以屏幕刮扫描,击键日志,并监视日志和网络流量以寻找可能的恶意行为,但您的反应有限。您只能将传统设备的外部交互限制为用户或其他资源 - 但不是运行时本身。

这限制了零信任的覆盖范围,并根据传统基础设施的特点,组织可能会发现,由于繁殖要求,即使监测网络流量也不可行,包括像TLS 1.3等新兴标准。

P2P通信

如果您认为您的组织不使用点对点(P2P)网络技术,则可能不会意识到Windows 10中的默认设置。

从2015年开始,Windows 10启用了P2P技术,可以共享对等系统之间的Windows更新,以节省Internet带宽。虽然有些组织转移到这一点,但其他组织甚至都不知道它存在。这表示从根本上不受控制的系统之间的特权横向移动。虽然对于此功能没有实现漏洞和漏洞,但它确实存在违反零信任模型的通信。即使在指定的微观周长内也应该没有未经授权的横向运动。

此外,如果您使用网状网络技术,您会发现它们完全运行到零信任。它们需要P2P通信以便操作,并且信任模型是严格基于键或密码,没有动态模型进行身份验证修改。

因此,如果您决定接受零信任,则需要调查您的组织是否具有P2P或网状网络技术,即使是无线网络。这些巨大的绊脚石块来拥抱零信任所需的访问,分割和微型仪器控制。

数字转型

即使对于在一个职位建立一个全新的数据中心的组织,实现基于角色的访问模型,并且拥抱零信任100%,数字转换带来了挑战。

云,DevOps,IoT和IOT驱动的数字转换并不本质地支持零信任模型,因为它需要额外的技术进行段并强制执行概念。对于大型部署,这可能是成本稳定的,甚至可能会影响解决方案与多用户访问正确交互的能力。如果您怀疑这一点,请考虑仅仅是存储要求和许可成本,以记录每个事件的所有资源在项目范围内的所有资源中的动态访问。

虽然有些人可能不同意云确实拥抱分段和零信任模型,但这一切都取决于你如何使用云。直接迁移你的凸起地板到云层不接受零信任。如果您在云中开发新应用程序作为服务,那么它肯定可以接受零信任。

但是,只需单独移动到云作为数字转换的一部分并不意味着您本质地获得规定的零信任模型优势。如果您决定接受零信任并将其烘焙到您的计划中,您的结果可能有限于本文前面讨论的所有原因。

零信任模型不是新的。 PCI等监管标准已接受概念,减去分析和自动化多年。基础知识呈现常识,但在不考虑堆栈内的现有技术,您的战略方向和用于远程访问和漏洞管理的技术,它只是一种理论方法,用于从地上架构良好的网络安全卫生,而不是一个可以购买的预打包解决方案来改造现有系统。

因此,从营销到现实的唯一成功的零信任实现是那些从第一天烘焙零信任的人。这些是全新的端到端设计,具有最小的遗留互动。通常,除非他们开始全新的倡议,否则这不是每个人都可以做的事情。

关于作者

拥有20多年的IT行业经验和特权攻击向量的作者,阿皮伯先生于2012年加入Eyee数字安全收购的一部分。他目前为漏洞和特权访问管理解决方案监督超越技术。 2004年,Haber先生加入了EEYE作为安全工程局长,负责Fortune 500客户的战略业务讨论和漏洞管理架构。在EEYE之前,他是Computer Associates,Inc。(CA)的发展经理,负责新产品测试版循环和命名客户账户。 Haber先生开始作为政府承包商建筑飞行和培训模拟器的可靠性和可维护性工程师。他在Stony Brook赢得了纽约国立大学电气工程学士学位。

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请