零信任：出海路上的合規新“鑰”

如今,監管合規已成為各行各業最為緊迫的挑戰之一。隨著全球監管環境不斷發展,企業往往難以跟上新規則的要求、現有標準的更新以及跨司法管轄區的執法趨勢。同時,新興技術的迅猛發展也給合規性帶來了前所未有的挑戰。例如,人工智能等新技術在金融領域被廣泛應用于客戶身份驗證和交易監控,而這些都是合規性要求的重要部分。此外,不斷增加的網絡安全威脅也使得數據安全漏洞等問題成為企業安全合規的重要考量因素。因此,有效應對新技術帶來的合規性挑戰已成為企業迫切需要解決的問題之一。

據調查,超過一半 (57%)的公司計劃今年在數據監管合規性上花費更多時間和金錢。數據合規性是確保組織及其系統滿足法律、法規和運營數據要求的過程。可以說,數據合規是所有數據驅動型業務的先決條件。確保數據安全合規,有利于企業與客戶建立信任,保護公司免受數據泄露和合規違規行為的影響,包括代價高昂的處罰以及對商業聲譽的長期影響。

然而,由于數字技術促使數據應用的場景和參與主體日益多樣化,數據安全的外延不斷擴展,許多企業面臨著數據安全與合規的多重挑戰,包括如何應對不同地區不斷變化的法規、管理和保護數據過程中的復雜操作以及明確企業環境的邊界等。

企業維持數據安全合規的主要挑戰

隨著技術的不斷發展,網絡威脅變得日益復雜和難以預測,黑客攻擊、數據泄露、勒索軟件等威脅不斷涌現,給企業數據安全帶來了巨大的風險。同時,隨著個人數據保護法規的推出,法律法規對企業處理個人數據的要求也越來越嚴格。另外,企業還面臨著來自內部的安全威脅,員工失誤、不當行為或惡意行為可能導致數據泄露或濫用等問題。

·?傳統安全架構無法應對不斷變化的法規要求

企業面臨復雜的法規要求,不同地區常見的監管框架都有各自網絡安全合規方面的內容,包括NIST 網絡安全標準、ISO /IEC 27001?、PCI DSS?、GDPR、CCPA、SOC 2等。這些合規標準通常要求組織通過持續監控、深度可見性以及對內部和外部用戶的強大訪問控制來防御網絡威脅。

許多公司嘗試傳統的網絡分段方法,例如使用傳統防火墻或 VLAN。雖然改善了內部和外部的訪問控制,但也存在挑戰。例如,PCI DSS 需要跨 CDE 進行控制。即使放置防火墻也可能很困難,因為在同一虛擬機管理程序上的兩個容器或兩個虛擬機之間放置防火墻可能需要一組完全不同的技術和 API。此外,通過這些方法更改分段策略以保護資產或使其超出范圍意味著更改基礎設施。這通常涉及數據中心內團隊之間的大量協調,無疑會導致不便。最后,對于傳統方法,可見性也是一個常見問題。企業缺乏有關東西向流量的實時和歷史數據,很難證明超出范圍的系統與其 CDE 是分開的。這種問題當企業IT基礎設施包括動態邊界時更是難以應對。

·?企業需要面對復雜的審核過程

對于安全團隊而言,合規性評估是最消耗時間和資源的任務之一。當企業向無邊界的數字環境及遠程辦公轉變,這種挑戰變得更加嚴重。企業通常需要隔離微環境、為管制資產建立安全圍欄,以滿足各項合規性標準。企業在面對復雜的合規要求的同時,還需要應對遠程用戶、公司本地用戶、合作伙伴、供應商等,這使得企業環境的邊界幾乎無法確定。訪問控制是審核成功與否的重要因素之一。安全團隊在準備審核時,必須思考如何限制對敏感信息的訪問,以使其僅向授權用戶開放、如何確定審核環境的范圍、如何簡化審核過程并減少混亂等復雜問題,這無疑為企業增加了不少成本支出。

·?勒索軟件攻擊數量的攀升

根據Cybersecurity Ventures預測,到2031年,勒索軟件將每兩秒攻擊一家企業、一位消費者或一臺設備。勒索事件已經成為各種規模企業面臨的最大挑戰之一。根據Akamai觀察,由于零日漏洞和一日漏洞的濫用, 2023年第一季度的勒索軟件受害者數量與 2022年第一季度同比增加?143%。

Akamai分析,若企業具備以下特點,勒索軟件團伙將更有可能發起攻擊:

-?隱形信任,對用戶、應用程序和網絡的隱性信任讓成功入侵網絡的攻擊者能夠橫向移動并傳播惡意軟件;

-?過度授權的訪問策略會導致可能注入勒索軟件的感染;

-?僅以密碼作為信任憑據的系統將會為憑據盜竊提供機會。

面對種種復雜的挑戰,當前企業迫切需要采用新的安全架構來確保數據的安全和合規性,以應對不斷增長的安全威脅和監管要求。

Zero Trust破解合規性和網絡安全挑戰

為了應對以上這些趨勢的挑戰,一種新型安全方法應運而生——zero trust,它基于身份驗證、突破地點制約以及能夠采取主動措施處理漏洞。Zero Trust安全架構既能夠提供用于保障訪問安全的強大用戶身份,又能在攻擊發生時實施主動抵御。

·?顛覆傳統,零信任面對復雜的監管要求“得心應手”

零信任模型是一種網絡安全戰略方法。它顛覆了傳統的網絡安全范式,在這種范式中,企業網絡內的用戶、設備、應用程序是隱式信任的。采用零信任方法,組織內部和外部的用戶、設備和應用程序必須針對每個訪問 IT 資源的請求進行身份驗證和授權。 隨著遠程工作、云計算和 BYOD 使傳統網絡邊界幾乎變得過時,零信任安全有助于阻止網絡安全威脅并限制成功網絡攻擊的爆炸半徑。

許多監管框架需要強有力的數據保護措施。零信任和微分段不僅通過嚴格控制和監控對敏感數據的訪問來支持合規性,同時也有助于解決內部威脅——對于需要防范內部威脅的法規,最小權限原則可確保每個用戶只能訪問任何任務所需的資源,從而降低惡意內部人員帶來的風險。其次,零信任將有助于合規環境的細分。使用微分段將網絡資產劃分為更小的安全控制區域,利用零信任可以滿足要求某些數據與 IT 基礎設施其他部分隔離的法規。最后,零信任原則可以擴展到所有用戶(包括供應商和第三方),這無疑極大地幫助組織確保了對嚴格控制供應鏈安全法規的要求遵守。

針對PCI DSS的合規性挑戰,微分段技術通過細分網絡、限制第三方用戶訪問權限以及提供實時可見性,幫助企業有效解決這一難題。相比傳統方法,基于軟件的微分段解決方案能夠顯著減小合規范圍,降低合規成本和工作量,并幫助組織滿足監管要求。實施PCI DSS微分段的步驟包括獲取可見性、不依賴基礎設施、考慮抽象安全需求,并持續監控和改進策略,以適應不斷變化的環境和威脅。

·?大幅簡化合規流程并減少風險

采用Zero Trust 方法可有助于幫助企業簡化合規流程并有效降低風險。顯式驗證以及支持最低訪問權限是 Zero Trust 的兩大關鍵能力,能夠大幅度簡化合規工作流程。企業可以將管制資產與數據中心或云的其他流量隔離,并根據身份而非位置允許訪問。借助監測能力,企業可以看到監管環境的進出流量,確定范圍中的內容。這能夠大幅降低審核的復雜性和成本,簡化審核員的工作。同時,零信任通過與微分段實現整合,將通過不斷驗證數字交互的各個方面并主動遵守側重于風險評估和管理的監管要求來識別和減輕風險。

·?強化勒索軟件防護盾

通過實施Zero Trust架構,訪問控制策略和微分段能夠最大限度地限制此類攻擊可能造成的破壞。攻擊者將更加難入侵系統,而且擴張能力也將受到限制。Zero Trust將分別從初始感染、橫向移動及數據泄露和加密等不同步驟進行應對,加以防范。

如何以零信任守護安全合規零風險

我們建議企業可以采取以下策略,構建零信任架構以滿足合規安全需求:

1.?高管領導:?在零信任項目團隊中,最好由企業高管擔任領導角色,而非IT或安全團隊,以確保全面的零信任部署。企業高管具有更廣泛的視野和對企業戰略的深刻了解,能夠更好地協調各部門工作,推動零信任在整個企業的有效實施。他們擁有更高的權力和決策能力,有助于推動零信任部署的順利執行。

2.?多角度評估成熟度:?企業在實施零信任前,最好參考行業指南,從用戶、數據、設備和云端等多個角度評估零信任的成熟度。

3.?融入微分段技術:?微分段技術可將網絡劃分為隔離的安全區域,作為零信任戰略的重要組成部分,有助于減少網絡攻擊面,提高數據和資源安全性。微分段技術使組織能夠快速識別和隔離網絡上的可疑活動。

4.?與專家緊密合作:?在零信任部署過程中,建議企業與專業的技術解決方案提供商合作,利用其技術和資源促進跨部門、跨團隊的合作。通過共同解決大方向上的問題,借助同一平臺搭建成功的零信任架構。

隨著各地對數據合規的立法越發健全,企業逐漸步入數據合規的“深水區”。通過零信任架構精細的權限管理,企業能夠更好地保護數據資產并確保合規性,將安全防御的重心從靜態的、基于網絡的邊界轉移到專注于用戶、資產和資源,助力企業在不斷變化的數據保護和合規性世界中破浪前行。

（ 劉炅 ?Akamai大中華區產品市場經理 ）