保护网络安全的第一步是了解所有联网用户和设备以及试图访问的用户和设备,这也是包括零信任等网络安全框架的前提,在此基础上企业才能创建相应的执行策略和控制工具。
可是,如果设备成了用户呢?
1. 零信任中的“用户”概念
零信任要求从用户开始落实安全性,但有趣的是,这里的用户不仅仅指传统意义上的用户。近年来不断兴起的物联网(IoT)、操作技术(OT)和智能联网设备为网络和企业带来了巨大的网络安全威胁,于是安全架构人员不得不重新审视身份的概念。从本质上而言,每个联网对象都有一个身份,并且必须包含在零信任框架内,因此这里的用户应该还包括设备、虚拟基础设施和云资产。
具体说明如下:
-
IoT 设备不需要人工收集、访问和共享信息,也不需要人工辅助功能自动化和业务提效。IoT 已迅速成为现代企业中增长最快的设备类型,IDC 估计到 2025 年将有 416 亿个联网的 IoT 设备,预计将产生79.4 ZB 的数据。
-
机器对机器(M2M)通信在工业和制造业中已经屡见不鲜,现在也广泛应用于医疗保健、商业和保险行业。
-
企业目前大量投入使用的 OT 网络系统也必须得到保护。据 Gartner 预计,到2021年,CIO 或 CISO 将直接负责70%的 OT 安全管理,较目前上升35%。
-
智能设备制定的安全决策很有可能漏洞百出。在一些常见的 DDoS 攻击中,Mirai 等僵尸网络可以控制凭据较弱的非托管 IoT 设备,可能会导致数百万设备破坏关键服务。
2. 拒绝刻板印象:每台设备都是独一无二的个体
要真正掌握设备身份,不仅需要识别 IP 地址、厂商和型号,更需要对设备的业务环境和潜在风险了如指掌,而这就是准确的态势感知发挥重要作用的地方。
先来看一类常见的 IoT 设备——联网摄像头。即便是同一台摄像头,执行的功能也截然不同,可以是视频监控,也可以是视频会议。在金融服务行业,摄像头主要用于交易过程中监控客户,或内置于 ATM 中扫描支票存款。这些摄像头的每一个视频输入都需要与不同的数据中心应用和云服务共享通信路径。因此,设备身份和情境是零信任安全中非常重要的概念。
3. IoT 和 OT 的零信任部署建议
为企业网络建立零信任框架还需要深入了解网络上的所有 IoT 和 OT 系统,从而做出基于情境的分段决策,以在不过度影响可用性的情况下降低业务风险。企业在网络中实施零信任时需要考虑以下几点:
1)将零信任的实施范围扩展到用户之外,包括设备。
2)对 IoT 和 OT 设备使用无代理设备可视化和持续网络监控,基于代理的安全方法不适用 IoT 和 OT 设备。
3)了解访问企业网络的所有设备身份,包括设备的业务环境、流量和资源依赖关系。
4)使用细分实现零信任原则,并满足风险管理用例:
-
控制并持续监控用户和设备的访问以保护关键业务应用
-
对关键的 IT 和 OT 设备设置特权访问
-
将企业的 IoT 和 OT 设备划分在适当的区域以减少攻击面
-
包含易受攻击的设备和遗留的业务应用/操作系统,不能在单独的区域内打补丁或脱机,以减少攻击面
