将从技术、文化、策略和监管举措等关键性影响方面简要分析解决方案格局的相关影响。尽管这些影响并非详尽无遗,但可以帮助行业利益相关者识别突出的挑战和机遇,需要在每个行业协作领域被持续关注。
技术
鉴于不断涌现的丰富多样的技术解决方案和功能,选择一个强大健壮的零信任架构ZTA是复杂、丰富并且可憧憬的。随着IT组织将这些演进的解决方案融合为其零信任架构ZTA的一部分,安全格局将从根本上反映出一种不同的、改进的网络安全方法,因此有可能弯曲成本曲线。这意味着,我们现在有一种潜在的方法,通过更全面的、持续的验证大幅度提高攻击者的成本,从而降低防御者成本。实施零信任架构ZTA 有初始成本,但随着时间的推移,其他技术考虑到其重复性,必要性将降低,甚至完全消除。随着零信任ZT标准的成熟,任何有关经济或商业影响的讨论都需要由行业成员辩论。如此复杂的环境还需要政府就NIST风险管理框架 (RMF) 如何帮助开发和实施提供持续的ZTA指导,如NIST出版的《零信任架构规划:管理员入门指南》 中所示,仍然需要其他行业指南帮助IT和安全专家了解如何评估、评估和统一现有的各种各样的零信任方法。 例如,对于SDP和SDN,为每个组织环境制定对应的SDP正确因素的挑战仍然很突出。例如,SDP的执行边界是在数据、应用程序、平台还是主机级别?在现实中可能会选择混合的解决方案。这种差距将需要更多的行业和政府合作,为组织领导者提供指导,帮助他们为其环境选择合适的因素。无论如何,确保 SDP 越来越成熟对于一个组织机构的零信任架构ZTA来说至关重要。 关于服务网格,未来的服务交付架构将变得更加分散和原子化。虽然Kubernetes 和服务网格架构通常与正在实施的组件(如容器和sidecar代理)无关,但鉴于当今混合环境中软件和硬件的多样性,将零信任架构ZTA正确应用于容器化应用程序环境,需要对最佳实践进行一定程度的行业标准化。 一座桥梁用于连接传统硬件或虚拟机基础架构(私有或云端部署)与本地容器环境上的运行组件将是必要的。行业面临的挑战将是如何允许零信任ZTA的核心组件驻留在本地相对较小运行态(如磁盘和RAM要求)的容器环境中。作为来自CISA和第三方云集成商的可信互联网连接策略(TIC)演进的一部分,这种开发模式可能值得考虑和指导。
组织文化
如本文开始所述,行业对于变革的主观倾向性对零信任原则落地来说至关重要。要改变业务和安全文化,需要更深入地了解各种角色。零信任ZT起初对管理员或开发人员来说可能看起来很吓人,会被认为进一步限制了他们的访问权限和执行工作的能力。组织机构将需要支持和培养他们的人才和资源,了解采用零信任ZT原则和技术的好处,以及评估其环境和实施既定路线图的行动。再一次,这将需要行政支持、明确的变更管理流程以及资本和资源投资来设计、评估和实施零信任架构ZTA,活动可能超出当前预算周期。
策略
在[互操作性](http://github5.com/search?wd=%E4%BA%92%E6%93%8D%E4%BD%9C%E6%80%A7)领域和动态云环境中的管理问题方面策略挑战将继续存在。可见性、上下文和控制对现代组织机构来说将对治理格局形成严峻挑战。值得庆幸的是,今天的零信任ZT原则、框架和架构可以帮助组织机构在这一挑战中的获得进展。首先,随着采用新的角色、流程和技术实现零信任架构ZTA,可能需要修改或制定全组织范围的策略。因为云支持跨组织的多租户,所以产生了新的策略挑战。简言之,有些策略无法在全球范围内实施。此外,随着访问策略和最佳实践的发展,策略逻辑将需要在它们保护的应用程序外部管理,但仍支持集中管理,这是实现管理经济性所必需的。在多租户/多系统所有者环境中,这个概念很复杂,在这种环境中,应用程序开发的演变因DevSecOps环境缓慢发展,烟囱心态占据了主导地位。作为 DevSecOps 流程的一部分,行业将受益于改进的、更自动化和更高效的策略管理解决方案的发展。 策略即代码越来越重要,行业也有很强的驱动力在整个软件供应链中开发和整合零信任架构ZTA实施方法。DevSecOps和CI/CD环节是应用程序和基础设施的新供应链,并且越来越多地利用容器技术。在软件供应链的CI/CD方法内部和整个过程中,ZTA的实施不容忽视。现代应用程序有时部分由第三方供应商和开源组件组成,这些组件通常称作“依赖项”。 因此,采用方组织可能对其供应商的供应链知之甚少,并且组织受到越来越多的不同法规的影响,增加了审核新范式(如ZTA)的成本。这可能会减慢采用速度。 即使在边缘计算中,网络安全策略也是通过核心操作系统、网络和云服务实施的。 在强制执行访问、授权和记账(AAA)方面需要有明确的责任。CDN和CSP等提供商严格执行 AAA记账是法规可审计和可验证的方式要求的。 这是“共享责任”的核心,应作为边缘计算环境中ZTA的问责模型继续存在,业界认可这一观点为最佳实践。
监管环境
目前尚不清楚政府当局是否可以监管安全,但政府策略可以培养对安全的关注并指导投资决策。最近的 14028 号总统行政令“改善国家的网络安全”^31 就是为了做到这一点。但是,必须制定政府策略促进和指导网络安全解决方案实施的整体观点的发展。如果不考虑可用的访问、网络和数据安全功能,就不能再将应用程序安全性内置到应用程序中。[互操作性](http://github5.com/search?wd=%E4%BA%92%E6%93%8D%E4%BD%9C%E6%80%A7)和可集成性必须是促进采用零信任ZT原则的策略的标志。从长远来看,仅仅关注解决用户交互,但不解决机器对机器通信的数据流将是不够的。供应链中促进技术烟囱策略只能导致在防御上产生漏洞。
更多零信任资料 信通院 数字化时代零信任安全蓝皮报告-2021年 信通院 零信任技术
|