边缘技术能使零信任安全更经济和现实可行的吗?
很少有网络安全概念能像零信任那样席卷企业界。本文探讨了边缘计算如何帮助解决与实施零信任相关的一些最重大挑战。
根据最近的数据显示,97%的企业表示已经开始实施零信任倡议,到2027年,全球零信任产品的价值将达到约600亿美元。很快,不接受零信任可能会导致竞争劣势,因为潜在客户可能只信任实施零信任战略的企业。
但对于尚未实现零信任的企业而言,2023年是一个充满挑战的时期,需要做出雄心勃勃的改变。由于预算减少和人员可能减少,许多企业可能没有准备好彻底改变其安全方式,特别是因为拙劣的零信任实施可能会打开漏洞之门。
让零信任安全变得经济且现实可行的一种方法是使用边缘技术。通过将安全性部分或全部转移到分布式架构上,可以大大简化保护组织的过程。
零信任安全的一个核心组成部分是“最低权限访问”——确保每个网络用户只能访问其所需要的内容。但是,考虑到需要定义权限的人数,为某人分配完全正确的权限可能既耗时又困难。
最低权限访问的两个关键组成部分是特异性和时间,即有权访问的内容以及何时授予访问权限。拥抱边缘对这两方面都有帮助。由于边缘基础设施将网络的组件从中心基础设施分发出去,因此其促进了微分段的过程。通过将网络及其内容分割成离散的扇区,可以很容易地授予正确的权限。
然而,即使具有特定的权限和微分段,也需要能够随着角色的变化快速进行修改。为了获得最佳安全性,这将需要一种实时管理和跟踪权限的方法,许多边缘解决方案现在都向其客户提供这一功能。
如果当前的网络基础设施运行在大量中央服务器上,这可能会给物流管理和财务管理带来负担。在这种复杂性的基础上实现零信任可能是压倒性的。
边缘计算可以帮助缓解这一挑战。作为边缘技术近期发展的一部分,专用的无服务器边缘平台已经变得越来越普遍。这些平台专注于边缘构建,并将基础设施维护留给专家组。
如果能够将部分基础设施从中央位置转移到这些平台之一,则可以降低需要管理的中央服务器的复杂性。在此基础上,便可集中精力有效地实现零信任。
准确评估传入请求是零信任的另一个关键组成部分。漏报(未能检测到不良行为者)可能会导致违规,但误报(错误地将合法行为者视为威胁)会使员工感到沮丧并损害生产力。Web应用程序防火墙(WAF)是任何零信任实施的重要组成部分,可阻止跨站点脚本等应用层威胁。将WAF放置在边缘有助于快速拦截威胁,但并非所有WAF都是一样的。
从历史上看,基于特征的WAF最为常见。“特征”指的是一旦被识别就存储在WAF中的攻击模式。然而,这使得WAF没有准备好面对全新的威胁。一种新兴的替代方案是基于评分的WAF,其动态地对尝试的请求进行评分,以检测可能的威胁,从而允许这些防火墙阻止以前从未见过的策略。由于基于评分的WAF还可以包含有助于响应已知威胁的预定规则,因此这种新型防火墙可以帮助避免误报并快速适应新情况,使其成为避免误报的理想选择。
虽然零信任安全对于维持严格的现代安全标准至关重要,但并不能完全防范可能破坏企业运营的各种攻击,例如DDoS攻击和机器人攻击。
可以在WAF所在的边缘实施针对DDoS攻击和机器人攻击的保护。保护措施尽可能远离中央基础设施,意味着可以在威胁接近中央基础设施之前将其阻止。此外,还可以定义要阻止的特定类型的机器人,以确保不会阻碍搜索引擎爬虫和损害搜索引擎优化。需要注意的是:由于DDoS攻击可能发生在应用层和网络层,因此找到一种覆盖这两个层的DDoS保护选项非常重要。
即使完成了现代安全基础设施的设置,也很难知道其是否有效运行。边缘可以提供帮助,因为其是本地化的。从特定的边缘位置获取信息可以更容易地定位和解决该问题和位置。
因此,如果能够将边缘数据传输到SIEM系统,就可以快速获得组织基础设施及其效能的俯视图。随着时间的推移,这可以通过更高效的运营节省资金。当然,仅仅了解这些信息只是成功的一半。另一半是寻找一个边缘编排平台,可以协调安全工作,并能够实时响应危机。
不出几年,零信任可能会变得完全不同。然而,当与一个只擅长零信任的供应商联系在一起,如果需求发生变化,这并不意味着该供应商也与之发展。如果该供应商依赖专有标准,这一点尤其紧迫,因为将系统转移到另一个供应商将具有挑战性。
为了避免受到特定提供商的支配,最好与许多公民、组织和企业使用的开放标准保持一致。如果确实需要更换提供商,操作也变得容易一些。边缘是一个开放标准创新的站点,包括WebAssembly、HTTP3等,因此可以以一种根据需要移动到其他地方的方式来构建功能。
毫无疑问,采用零信任安全实践可能是一个挑战,尤其是在面临快速完成流程的压力时。但是,边缘计算和网络技术可以通过增强安全性、降低管理复杂性,并在规划未来时保持选择余地来提供帮助。虽然零信任趋势在未来可能会发生变化,但边缘计算很可能会继续在零信任发展的过程中发挥作用。
京公网安备 11010802035086号