为什么企业需要对其网络安全模式实施零信任

人们往往过于信任，在安全方面尤其如此。 科技共和国的丹·帕特森(Dan Patterson)与Centrify首席产品官比尔·曼(Bill Mann)进行了交谈，讨论了为什么公司需要采用零信任模式，才能防止当今的网络威胁。 下面是采访记录。

帕特森：随着网络安全格局的变化，随着新威胁的演变和出现，公司需要做很多事情才能保持在流血的边缘。 公司需要做的事情之一是忘记信任。 对于技术共和国和ZDNet，我是丹·帕特森，和比尔·曼一起。 他是Centrify的首席产品官。

比尔，非常感谢你今天抽出时间。 我想知道我们是否可以从零信任模型开始。 这听起来有点违反直觉，但我想知道你能不能带我们进来。 帮助我们理解零信任意味着什么，以及这如何使组织在未来保持安全。

曼：嗨，丹，谢谢你抽出时间。 是的，这听起来确实很奇怪，零信任模型，因为我们都认为信任和信任对我们所有人都是如此重要。 这种东西的名称在确保人们理解它是什么方面是矛盾的。

但让我用非常简单的术语解释什么是零信任。 我们内在地对我们的环境过于信任，我们倾向于信任太多的东西，这确实导致我们依赖各种形式的安全，而这些安全实际上无助于我们在新的世界秩序中的地位。 想想旧世界的秩序，你有一个防火墙，它是一个周长。 我们曾经相信防火墙会阻止坏人，但现实是坏人已经在我们的环境中了。 而且，现实是，我们有很多移动工人和外包IT，我们使用统计和基础设施作为服务，因此危险也不存在于防火墙以前保护的墙内。

所以模型必须改变。 回到信任这个词，我们不能再信任防火墙了，我们现在必须真正想到一个我们不能信任这些安全元素的世界，我们必须去一个我们明确信任事物的模型。 所以，我们不能含蓄地信任别人，而是要明确地信任别人。

让我给你举一个有趣的例子，但它可能会帮助观众。 当你在家睡觉的时候，你天生就相信你的环境，因为前门是锁着的，窗户是锁着的，等等。 但是想象一下现在窗户开着门也开着。 你觉得家里的安全怎么样？ 我想我们可能会把门锁上，对吧？ 这也是IT专业人士现在也必须考虑的心态。 我们不能依赖防火墙，我不是说要摆脱防火墙，而是要依赖防火墙，我们必须开始明确地信任环境中的事物。

因此，在解释了什么是零信任之后，我可以带你了解零信任的主要因素。 但让我把它交给你。

帕特森：是的，事实上，我很想听听零信任的元素，再加上我们一会儿就能到达，但再加上这在纸面上听起来很棒，但是我们如何才能让大规模的组织，比如企业公司，建立一种与我们过去在网络上的做法完全不同的东西。

曼：当然。 所以让我先给你介绍一下零信任的关键组成部分。 因此，零信任的第一个组成部分是了解用户，真正了解用户在您的环境中是谁。 正如你所知道的，我们今天通常通过用户名和密码来理解用户，这是理解谁是用户的一种非常原始的方式。 我们真正需要在我们的环境中实现的是更好的方法来理解用户是谁。 技术就像多因素认证一样.. 它可以帮助我们了解这个特定的人是谁进入环境。 所以这是零信任的第一个要素，理解用户。 关于身份。

第二个元素是知道他们正在使用的设备连接到网络中。 因此，通常我们使用这些东西之一来访问我们的网络。 所以它是耦合认识用户和了解他们的设备。 所以当我说知道他们的设备，了解他们设备的安全姿势。 所以如果你在用手机，让我们确保它属于比尔。 我们确保它没有任何漏洞。 如果你用的是Windows机器，我们要确保它没有病毒。

因此，从根本上说，它是为了确保用于连接到您的环境的终点具有一定的安全姿态，并且在环境中是值得的。 所以这是第二个元素。 第一，认识用户，第二，认识设备..

第三个元素是，一旦这个人可以访问某些东西，让我们说这个人比尔可以访问Salesforce.com，或者让我们说这个人Jane可以访问运行在AWS上的Unix机器，让我们确保在该资源上的访问和特权最少。 因此，如果比尔是一名销售人员，而他只是一名销售人员，那么他不是一名区域经理，他就不应该能够看到Salesforce内部的一切。 同样，如果Jane是IT开发人员，她只有范围为Oracle做管理，她应该只能为Oracle做管理。 她应该无法登录到路由帐户并进行其他更改等等。

但这个概念很简单。 这是一个概念，大多数安全专业人员理解，类似于大学课程，最小特权的概念。 给人们最少的机会去做他们的工作。

最后是从所有这三个元素中学习-用户、设备、最小特权和调整策略。 所以这是不断学习和适应，改变政策。 例如，如果Jane从不在Unix机器上执行某些命令，让我们拨号策略，这样她就永远无法运行它们。 如果比尔从来不访问Salesforce.com上的某些报告，我们也把它们拨下来。 所以这真的是一个最小特权的概念。 回到信任，这就是你需要在一个环境中拥有的东西，因为我们都知道，我们今天所生活的世界是非常异质的，它是非常云的，它是非常移动的，只有在安全和信任的表象下，才能开始在组织中进行这种转变。

现在，第二个问题是组织如何转向这种模式。 因此，不幸的是，许多组织正在花费大量的IT安全美元在经典的安全技术上，你知道，防火墙，反病毒，入侵检测，等等，漏洞管理等等。 但是，如果你看看所有的数据，Verizon违约报告说，80%的大多数违约是由于受损的凭据。 换句话说，就像窃取我们的密码登录到一个环境，然后窃取信息等等。

SEE：网络战与网络安全的未来(ZDNet特别报告)|以PD F格式下载报告（技术共和国）

因此，我所说的第一个基本部分是了解用户，即在用户周围实现控制。 而很多大型组织都了解这个问题，但并没有真正地在整个组织中实施。 很多中型企业仍在努力寻找简单的密码。 所以这是我建议每个人在他们的组织中需要做的第一件事就是实现最小的特权。 然后，实现最小特权模型，在该模型中，您确实限制了环境中的访问和特权。

帕特森：比尔·曼是Centrify的首席产品官。 比尔，谢谢你今天的时间。 我想知道你能不能给我们一些建议。 当我们研究2018年的威胁景观时，有很多流动的沙子。 公司，无论是SMBs还是企业公司，应该如何为可能尚未存在的威胁做好准备，或者他们可能准备不足？

曼：安全是一个复杂的景观，试图回答什么准备的问题，我们甚至不知道，是更困难的。 我是说，看看过去几周关于微处理器威胁的新闻。

因此，我认为组织今天真正需要应用的唯一务实的方法是遵循零信任模型。 这是一个非常规范的模型。 它是基于市场上的真实数据，来自Verizon等公司和其他公司，这些公司正在真正评估许多漏洞和许多漏洞，并从根本上下来，试图对业界说，他们需要关注身份问题。 因此，我认为，如果我是一名安全专业人员，我将看看我2018年的预算，我将开始分配更多的IT投资美元，用于身份和基于身份的安全，并尽快使这一转变可能是我能给任何人的最好建议。