據(jù)Gartner稱，到 2024 年底，全球 75% 的人口的個(gè)人數(shù)據(jù)將受到隱私法規(guī)的保護(hù)。在他們最新的信息安全和風(fēng)險(xiǎn)管理研究中，Gartner 將零信任網(wǎng)絡(luò)訪問 (ZTNA) 確定為增長最快的網(wǎng)絡(luò)安全領(lǐng)域，預(yù)計(jì)到 2023 年將增長 31%，這主要得益于遠(yuǎn)程工作者的增加?；旌瞎ぷ魇巧钪械囊粋€(gè)事實(shí)，預(yù)計(jì)主要由 ZTNA 而非 VPN 服務(wù)提供服務(wù)。

合規(guī)性和 ZTNA 正在推動(dòng)加密進(jìn)入組織網(wǎng)絡(luò)和企業(yè)的各個(gè)方面，反過來，迫使我們改變我們對(duì)保護(hù)環(huán)境的看法。

意想不到的后果

ZTNA 在一方面非常適合安全性，隨著原子化網(wǎng)絡(luò)的不斷發(fā)展以及應(yīng)用程序和人員無處不在，它可以更好地控制移動(dòng)和訪問。零信任不是驗(yàn)證一次然后獲得對(duì)網(wǎng)絡(luò)上資源和設(shè)備的相對(duì)開放的訪問權(quán)限，而是關(guān)于驗(yàn)證和接收一組權(quán)限和授權(quán)以進(jìn)行顯式訪問。然而，ZTNA 使用加密來保護(hù)所有連接，無論它們位于基礎(chǔ)設(shè)施的哪個(gè)位置，這在安全的另一個(gè)方面造成了巨大的問題。正如我之前所討論的，加密使我們傳統(tǒng)上用于企業(yè)保護(hù)的許多網(wǎng)絡(luò)可見性和安全工具變得盲目。

決定使用安全訪問服務(wù)邊緣 (SASE) 平臺(tái)來管理 ZTNA 的組織也會(huì)為了身份驗(yàn)證和加密而犧牲一定程度的可見性。使用 SASE，當(dāng)用戶連接到其供應(yīng)商的專用云時(shí)，身份驗(yàn)證和授權(quán)得到管理。從用戶的角度來看，體驗(yàn)相當(dāng)無縫，但安全團(tuán)隊(duì)告訴我們他們沒有完成工作所需的東西。通常，他們只能查看身份驗(yàn)證日志和訪問日志，因此他們無法實(shí)時(shí)查看整個(gè)云環(huán)境中發(fā)生的情況。

即使組織不走零信任路線，因?yàn)樗赡軐?duì)他們的環(huán)境造成過大的傷害，他們?nèi)匀怀鲇跀?shù)據(jù)隱私和保護(hù)的原因?qū)嵤┘用堋Ｊ褂米罡呒?jí)別的加密——不僅用于面向互聯(lián)網(wǎng)的主機(jī)，而且在內(nèi)部也用于保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)。

風(fēng)險(xiǎn)悖論

隨著加密變得普遍，組織正在增加安全團(tuán)隊(duì)執(zhí)行故障排除和威脅搜尋等工作的復(fù)雜性。加密和網(wǎng)絡(luò)原子化的綜合影響正在棄用許多使用深度數(shù)據(jù)包檢測(cè) (DPI) 和數(shù)據(jù)包捕獲技術(shù)的傳統(tǒng)工具，使它們的部署和管理變得更加昂貴和復(fù)雜。

傳統(tǒng)的思維過程是，為了檢測(cè)和響應(yīng)，我們必須看到一切，這意味著我們必須解密一切。當(dāng)然，解密是可能的，但它不再具有擴(kuò)展性。在沒有定義邊界的分散且短暫的環(huán)境中，將設(shè)備放在中間進(jìn)行解密變得越來越難。我們有更多的流量需要解密，有更多的證書需要管理，而我們?yōu)榱藱z測(cè)和響應(yīng)而破壞加密的任何一點(diǎn)都是我們可能暴露敏感數(shù)據(jù)的另一個(gè)點(diǎn)。為了確保我們的網(wǎng)絡(luò)安全，我們正在提升我們的風(fēng)險(xiǎn)狀況。

不破解解密的網(wǎng)絡(luò)安全

現(xiàn)在是重新構(gòu)想我們的網(wǎng)絡(luò)安全方法的時(shí)候了，這樣我們就可以看到正在發(fā)生的事情并檢測(cè)和響應(yīng)威脅，而不會(huì)引入額外的風(fēng)險(xiǎn)。

許多機(jī)器上都安裝了端點(diǎn)檢測(cè)響應(yīng) (EDR) 代理，可提供對(duì)網(wǎng)絡(luò)主機(jī)和本地進(jìn)程的可見性。然而，并非環(huán)境中的每個(gè)聯(lián)網(wǎng)設(shè)備都能夠支持代理，并且 EDR 不提供對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)可見性。這就是流數(shù)據(jù)形式的元數(shù)據(jù)的用武之地。無需捕獲和檢查每個(gè)數(shù)據(jù)包即可查看和監(jiān)控網(wǎng)絡(luò)流量以進(jìn)行檢測(cè)和響應(yīng)。元數(shù)據(jù)在您的多云、內(nèi)部部署和混合環(huán)境中廣泛可用，并且當(dāng)通過上下文進(jìn)行豐富時(shí)，可以提供對(duì)原子化網(wǎng)絡(luò)中流量的高級(jí)實(shí)時(shí)可見性。

總的來說，EDR 和元數(shù)據(jù)可以很好地描述網(wǎng)絡(luò)上的內(nèi)容、正在做的事情以及發(fā)生的事情，并且可以在不破壞加密的情況下檢測(cè)大多數(shù)攻擊。如果我們看到需要更深入研究的異常行為，我們可以縮小我們正在查看的范圍并縮小解密范圍。通過將程序更改為僅在必要時(shí)解密，我們可以相應(yīng)地降低風(fēng)險(xiǎn)狀況，同時(shí)最大限度地降低成本和復(fù)雜性。

事實(shí)證明，加密和零信任并沒有破壞密鑰保護(hù)。相反，他們正在迫使不可避免的改變使之變得更好。組織可以擺脫100%解密（不再擴(kuò)展并引入風(fēng)險(xiǎn)），享受 ZTNA 和加密的好處，并且仍然獲得保護(hù)其原子化網(wǎng)絡(luò)所需的全面可見性和覆蓋范圍。