甚至在拜登政府宣布美国联邦机构和承包商之前 必须采用新的零信任网络安全标准,许多企业级公司已经开始了采用零信任架构(ZTA)的旅程。
根据 Forrester 最近进行的一项调查,78% 全球安全领导人表示他们计划加强零信任行动 今年,尽管只有 6% 的人表示他们已经全面实施了零信任项目。这些组织认识到,当今的网络可以是本地的,可以延伸到云端,也可以扩展到远程工作人员所在的任何地方,这限制了传统防御的有效性。
在处理直接攻击(例如最近的 Log4j 漏洞)、间接攻击(例如恶意软件网络钓鱼)以及内部横向移动时,传统的基于边界的网络访问控制已被证明不足以检测(更不用说预防)妥协。零信任——基于用户必须经过身份验证和持续验证才能被授予对应用程序和数据的访问权限的概念——更加有效,因为它保护的是资源而不是网络段。
但成功的执行更像是一段旅程,而不是一个可以打开的开关。它需要各种技术协同工作——包括多因素身份验证、端点安全和身份保护——全面的零信任采用成为一个持续的增强、完善和策略调整的过程。
有一句古老的格言在冷战期间广为人知:“信任,但要核实。”在当今高度分布式的世界中,每个方面都需要更多,其中网络环境是动态的,网络基础设施、服务、用户等都可以快速变化。组织不能盲目地假设其零信任架构 (ZTA) 始终按预期运行。组织需要积极地不信任 和 在他们完善网络基础设施、服务和运营策略时进行验证。值得庆幸的是,持续的深度数据包监控提供了改进策略执行决策所需的独立情报。
深度数据包监控的作用
在 零信任成熟度模型 由网络安全和基础设施安全局 (CISA) 制定的五个不同支柱反映了组织在零信任实施方面的先进程度。贯穿这些支柱的是可见性和分析、自动化和编排以及治理的指导方针——这表明更成熟的 ZTA 需要跨支柱协作、集成和管理。
在传统的非零信任部署中,外围的数据包监控(偶尔在内部网络的敏感区域)为网络可见性和分析奠定了基础。但随着组织的 ZTA 成熟,传统的边界就会变得模糊甚至完全消失。南北交通始终需要监控和控制,但同样重要的是, 东西向交通必须受到监控和控制 检测并防止环境中的横向或更深层次的损害。为了实现零信任成熟度,需要通过深度数据包监控来实现整个网络的普遍网络可见性。
数据包是可用的高保真网络数据的最佳来源,特别是对于在数字化转型之旅中进一步迈向公共或混合云使用的组织而言。在这些环境中,与传统数据中心相比,组织通常会失去一定程度的可见性,并且端点防御等传统网络安全保护措施甚至可能无法发挥作用。数据包数据超越了分布式基础设施的限制,有助于近乎实时地验证性能和策略合规性,提供可以在数月甚至数年后进行分析的单一事实来源。
虽然网络团队传统上使用 数据包监控 为了分析网络、管理流量和识别性能问题,数据包向安全团队提供的数据对于威胁检测和调查同样非常宝贵。例如,数据包数据允许安全团队跟踪互连设备之间的通信和历史趋势,并可以通过 API 协助协调管理和执行工具之间的缓解措施。它还填补了其他网络安全工具(例如安全信息、事件管理和端点检测)留下的可见性和数据空白,使这些工具和现有网络安全人员更加有效。最后,组织可以使用数据包监控根据风险对网络、服务器和服务进行分类,从而可以非常快速、简洁地验证 ZTA。
总之,刚刚开始零信任之旅的企业需要随着其成熟而对其架构进行改进。他们的解决方案将越来越依赖自动化流程和系统,跨支柱的集成度更高,政策执行决策也更加动态。为了使这些系统保持成功,需要持续验证零信任设计和实施边界,而深度数据包监控提供了最全面的可见性来验证其有效性。
归根结底,零信任是一种哲学。要完全相信,没有什么是理所当然的。即使拥有更成熟的零信任实施的组织也必须通过持续、普遍的网络可见性不断验证其遵守情况。毕竟,你无法保护你看不到的东西,而你看不到的东西,你不应该信任。
