组织希望根据成熟度模型来衡量其零信任网络进展。SRM 领导者需要知道他们的同行在哪里,以及如何为其零信任网络实施设置基线和未来成熟度目标。
主要发现
美国的联邦授权引起了北美对零信任架构的浓厚兴趣,欧洲和亚洲公共和私营部门的兴趣日益浓厚。
部署产品以符合零信任原则的组织没有好的选择来验证其安全状况是否已得到显着改善。
单点产品之间缺乏集成使得端到端零信任部署变得极其困难。
虽然零信任策略承诺动态和基于上下文的访问,但大多数初始部署都满足于基于静态用户和设备信号的策略。
建议
负责零信任的安全和风险管理领导者应该:
到 2024 年,超越零信任原则的战略和讨论,至少使用静态用户和设备信号来实施零信任技术。使这些控制变得成熟,变得动态,同时迭代地扩大范围。
在论证过程中,确定可以围绕零信任计划构建哪些治理,从而带来可衡量的业务收益。
建立一个环境来制定供应商中立的政策决策点。首先与传统的零信任网络访问 (ZTNA) 和微分段解决方案提供商交谈,以管理多个决策和执行点,包括园区/远程用户端点以及数据中心工作负载。
确定环境中的哪些资源可以从动态访问策略中受益。识别可用的动态信号,并与可以提取这些信号的供应商合作以确定访问权限。
战略规划假设
到 2027 年,70% 的组织将停止零信任部署,除非开发出更好的技术来充当供应商的策略决策点。
到 2026 年,75% 的组织将明确将非托管设备、CPS、外部第三方和遗留应用程序/环境排除在零信任策略实施范围之外,以降低复杂性和成本。到 2025 年,企业实施的所有 SD-WAN、园区交换和数据中心交换产品中 90% 以上将不支持零信任网络的三个主要要求。
到 2027 年,25% 为其扩展员工实施 ZTNA 技术的组织将从静态、一次性基于上下文的身份验证和授权转向持续、动态、基于风险的访问控制。
分析
需要知道什么
行业调查表明,超过 60% 的组织正在计划或积极实施零信任策略。然而,Gartner 指出,尽管许多客户制定了战略并正在努力实施零信任技术,但成熟的客户却寥寥无几。原因有很多,包括供应商产品之间缺乏互操作性、部署范围有限以及商用产品缺乏功能。
美国联邦政府标准机构继续以零信任的方式推进工作。美国国家网络安全卓越中心 (NCCoE) 赞助了一个项目,与 24 家符合“ NIST 特别出版物 800-207 零信任架构”的供应商合作,构建、演示和记录零信任参考架构的多个示例。NCCoE NIST 特别出版物 1800-35 系列出版物旨在让公共和私营部门组织深入了解根据零信任要求测试供应商实施情况。截至 2023 年 11 月,出版物草案列举了采用零信任架构 (ZTA) 的常见挑战:
“整合不同成熟度的各种类型的商用技术,评估能力并确定技术差距,以构建完整的 ZTA。”
“缺乏分发、管理和执行安全策略的标准化策略,导致组织面临碎片化的策略环境或不可互操作的组件。”
该项目的范围不包括物联网设备,但可能会在未来阶段包括它们。
此外,供应商营销的速度继续超过产品功能和组织实施更高级功能以实现零信任的能力。网络交换和 SD-WAN 的情况显然都是如此,Gartner 目前观察到的绝大多数实施都无法满足零信任网络的核心要求。
Gartner 客户通常将最先进的零信任功能视为零信任实施的未来阶段。许多组织首先从静态、低上下文访问决策转向仅在连接时包含更多用户和设备上下文的访问决策。这已经“足够好”了,可以通过减少攻击面和减少对网络的隐式信任来减少大量风险。然而,随着组织寻求转向更强大的实时、基于上下文的访问控制,人们感到担忧。这增加了难以预测和管理的复杂性。例如,组织必须回答以下问题:“当动态计算的信任分数低于阈值时,可以将哪些决策权和行动分配给我们的一线支持团队?” 否则,运营可能会受到影响,因为当时需要的人仍然无法访问关键应用程序和数据。一旦稳定,组织就会通过使用额外的上下文实施持续评估的控制来迭代地改善其安全状况。
战略规划假设:到 2027 年,70% 的组织将停止零信任部署,除非开发出更好的技术来充当供应商的策略决策点。
主要发现:
一个供应商的策略决策点很少能与第三方的策略执行点交互。
馈入策略决策点 ( PDP)的信号很大程度上是专有的,这限制了与现有基础设施产品的集成。
目前市场上没有通用的 PDP。
市场影响:
PDP 和 PEP 都是构建基本零信任架构的基础。NIST 指南指出,策略执行点 ( PEP)应尽可能靠近正在访问的资源。由此得出的自然结论是,零信任实施应包括多个 PEP,这表明如何在仅使用用户身份、设备身份和数据中心微分段的基本零信任实施中利用多个 PEP(参见图 1)。遗憾的是,商业上确实存在可以动态更新该图中所有 PEP 的单个 PDP。为了使零信任能够有效降低企业风险,必须将供应商中立的 PDP 推向市场。
零信任 PDP 必须能够使用各种信号来做出访问决策。例如,来自连续诊断和缓解 (CDM) 系统、威胁情报源、网络和系统活动日志、数据访问策略、企业公钥基础设施 (PKI)、身份提供商 (IDP) 和 SIEM 的数据。虽然威胁情报和日志具有可以摄取的通用格式,但与第三方 CDM 的集成并不常见。其他数据,例如来自网络检测响应( NDR ) 产品的信息,目前也不太常见于通过某些模拟 PDP 功能的产品获取。
一些 ZTNA 产品确实符合其生态系统中的基本 PDP 和 PEP 功能。例如,在端点上使用他们的代理将提供某种级别的 CDM 数据。然而,企业仅限于 ZTNA 供应商可能有兴趣提供的任何功能或有限的集成。ZTNA 还最注重将远程用户连接到私有应用程序,而不是将本地用户连接到私有应用程序。通用 ZTNA 在这一领域带来了希望,但在将非用户设备连接到零信任架构时仍然缺乏。此外,ZTNA 仍然是企业预算中成本高昂的项目。
有趣的是,本地技术让我们得以一睹通用 PDP 如何成为现实。网络访问控制 (NAC) 多年来一直是广泛部署的技术。虽然 NAC 传统上用于限制对连接到本地网络的设备的访问,但第二个用途是获取所有网络连接设备的可见性。一些供应商增强了此功能,以获取有关设备和用户活动的近乎实时的信息。此外,这些供应商一直在与第三方集成,将威胁情报等其他信号纳入访问决策中。从本质上讲,NAC 始终扮演 PDP 角色,与网络交换机、无线控制器或网络防火墙集成作为 PEP。
图 1:零信任功能概述
建议:
请注意今天购买的任何产品的 PDP 集成限制,并意识到同意供应商锁定。
寻找具有管理多个 PEP 路线图的供应商——包括园区/远程用户端点以及数据中心工作负载。
确定 PDP 如何从非用户设备接收 CDM 数据,因为如果最终用户设备受到覆盖,这些设备将很快成为首选的攻击媒介。
战略规划假设:到 2026 年,75% 的组织将明确将非托管设备、CPS、外部第三方和遗留应用程序/环境排除在零信任策略实施范围之外,以降低复杂性和成本。
主要发现:
零信任是一种安全范例,用风险和信任的上下文平衡取代基于边界的防御。这个名称本身是一个用词不当,因为总体目标是用明确定义和持续评估的信任取代隐式信任,这在复杂的操作和生产环境中非常具有挑战性。
在零信任策略下,用户和端点仅接收所需的访问权限,而不是更多,并且根据不断变化的威胁进行持续监控。在生产或关键任务环境中,这些概念并不普遍适用于非托管设备、为在独特的以安全和可靠性为中心的环境中执行特定任务而设计的网络物理系统 (CPS) 以及遗留应用程序。
一些供应商将自己定位为运营或关键任务环境中 IT 之外的零信任 ( ZT ) 专家,他们利用与概念一致的一项或多项功能,而忽略其他功能。这在最终用户社区中造成了混乱。
ZT 原则是实现改善组织安全状况的手段,而不是目标本身。如果可以避免非托管资产、CPS 和遗留应用程序被发现,那么更换工具、部署加密和添加端到端持续可见性可能会增加复杂性和成本,从而无法降低风险。
此外,外部第三方可能无法或不愿意投资ZT。对于大多数最终用户来说,强制执行条款和条件以及部署资源进行验证可能是一个复杂且成本高昂的提议。
市场影响:
了解从以 IT 为中心的 ZT 工作到 CPS 的哪些内容可以转化,哪些不能转化,是避免成本高昂且可能带来可疑改进的关键。例如:
许多 IT ZT 努力加速了基于云的服务的采用。虽然较新的数字化转型工作可以支持这种转变,但对于许多较旧的 CPS 和遗留应用程序/环境来说,它并不总是实用甚至是可取的。
并非所有 CPS 流量都是基于 IP 的;许多不同的协议加剧了复杂性。同样的复杂性也适用于防火墙管理。
对数据访问和加密的关注可能会违背支持不间断物理过程和超低延迟的需求,或者对于许多 CPS 来说在技术上可能不切实际。
许多旧系统可能没有身份验证功能,或者只有有限的身份验证功能。
如果 24/7、轮班的操作环境已经创建了共享密码的文化,则可能需要开展教育和流程变更活动。
许多较旧的资产也可能不具备与策略执行点交互的处理能力或技术能力。
OEM 经常根据合同条款和条件远程访问他们出售的 CPS,以提供维护和升级,其中可能还包括特定技术使用的要求,例如 VPN。
特别是在工业环境中,整个工厂可能共享一个网络作为隐式信任区域。创建额外的分段是一项微妙的工作,需要仔细测试,因为工业网络很难修改并重视正常运行时间。
随着机器人和超自动化 CPS 的日益部署,资产之间的通信可能难以预测。这些设备的自主性意味着它们可能会通过与人类未曾预料到的设备建立通信来找到自己的优化操作的方法。因此,零信任策略设置在这些环境中可能极其复杂或不兼容。
话虽这么说,目前的现状本身就是一种风险。非托管设备、CPS、外部第三方和遗留应用程序/环境不能被忽视。为了提高弹性,可以利用许多 ZT 概念;他们只是需要适应。例如,当涉及到用户、身份、配置文件和行为时,所有概念都可以扩展以解释物理生产过程。此外,对细分的关注可以转化为宏观层面的策略(与 IT 网络分离或部署隐形策略)或基于 CPS 访问和控制循环规则的微观层面的策略。这些规则不一定需要与传统的普渡模型保持一致,并且可以基于位置、资产类型、安全区域或业务流程等。
建议:
抵制住追逐最新网络安全概念并坚持基础知识的诱惑,因为可能已经有很多容易实现的目标需要清理。例如,在适当的情况下应用零信任策略的基础知识(例如宏观网络分段),以帮助保护缺乏基本安全卫生的网络中的资产。从这里开始,继续了解适合您的业务环境的其他 ZT 概念。
了解并定义自己的 IT ZT 策略,并与 CPS 操作员和工程师坐下来集思广益,讨论如何使其适合的特定组织。
对于所有将自己定位为 ZT 专家的供应商,请要求他们准确地证明环境可以减轻哪些风险。询问现有的控制措施,它们如何最大限度地减少对运营的影响,以及它们是否会在您的垂直领域提供可靠的生产客户参考,这些客户愿意提供有关产品的反馈。
战略规划假设:到2025年,企业实施的所有SD-WAN、园区交换和数据中心交换产品中,90%以上将不支持零信任网络的三个主要要求。
主要发现:
与一些网络供应商的零信任营销相反,目前供应商销售的几乎所有 SD-WAN、园区和数据中心交换产品(即超过 99%)都无法解决零信任的关键问题。零信任网络产品必须满足所有这三个核心要求:
只有在身份经过验证和授权后才允许访问网络。
网络访问仅限于必要的资源。
根据身份和环境产生的风险,网络访问近乎实时地持续调整。
SD-WAN 和数据中心交换产品受到严重限制,因为它们目前无法建立身份并且不符合第一个或第三个要求。在园区网络中,一些供应商的产品可以满足前两个要求(通常与 NAC 和/或高级软件许可证结合使用),但他们不会近乎实时地持续调整访问。
表1 :按市场划分的零信任网络
市场 |
建立身份(要求 1) |
限制访问(要求 2) |
不断调整准入(要求 3) |
园区交换 |
是(大多数供应商) |
是(与高级细分结合) |
否(大多数供应商) |
数据中心交换 |
不 |
是(与高级细分结合) |
不 |
软件定义广域网 |
不 |
是(与高级细分结合) |
不 |
资料来源:Gartner(2023 年 12 月)
市场影响:
数据中心交换
将所有零信任要求应用于数据中心交换产品需要大量供应商投资,包括改进产品以支持身份。此外,由于需要识别应用程序依赖性,完整的数据中心范围内的 ZTN 使实施变得复杂。因此,我们希望供应商只专注于对其产品进行适度的增量安全增强。然而,这无法满足所有三个零信任要求。虽然“完整的 ZTN”产品可能不会存在,但网络团队仍然可以通过实施分段和微分段技术(以帮助满足第 2 条要求)来改善数据中心的零信任状态。同样,平台工程团队可以寻求新兴的服务连接层技术来满足第一和第二要求。
SD-WAN
与数据中心交换一样,完整的 ZTN SD-WAN 产品需要主要供应商投资,并使独立 SD-WAN 产品的企业部署变得复杂。然而,提供统一 SASE 平台的供应商在未来能够更好地提供具有零信任要求的 SD-WAN,因为身份和持续评估通常包含在 SASE 平台的其他方面。因此,拥有统一 SASE 平台的供应商将身份作为一个选项纳入其 SD-WAN 功能是可行的。然而,目前只有少数供应商提供统一的 SASE 平台。此外,企业对这一潜力的兴趣和认识有限,因此我们预计未来两年的实施非常有限(不到 1%)。
园区交换
园区交换空间有充分的希望实现零信任。对于我们预测将完全支持所有三个 ZT 原则的产品,我们预计其中大多数都是以校园为中心的。这是因为我们看到供应和相关企业需求不断增加。企业对零信任的需求和兴趣很高,客户特别寻求一种一致且简化的方式来连接和保护在办公室内外工作的用户。他们不希望使用单独的控制台来管理和/或为用户提供单独的体验。这激发了早期采用者对“通用 ZTNA”的兴趣,为用户(和网络/安全管理员)制定通用策略,无论他们在何处连接。同时,我们还看到供应商在园区网络产品/实施中应用所有 ZTN 原则的新兴产品和/或具体路线图计划。然而,这对于许多大型且成熟的现有园区交换和/或 NAC 供应商来说是通货紧缩的。因此,我们预计这种能力将来自有限数量的网络供应商,提供 ZTNA 和园区交换(以及可能的新兴/较新供应商)。因此,由于供应商数量有限和校园交换刷新周期较长,我们预计采用速度相对缓慢且增量。然而,我们确实预计非交换供应商的通用 ZTNA 会出现更快的增长,尤其是企业将现有的远程访问 ZTNA 实施扩展到覆盖校园环境。
建议:
希望改善安全状况的 SRM 领导者必须与 I&O 网络同事合作,并且应该:
通过将现有远程访问 ZTNA 部署扩展到园区环境来试点通用 ZTNA 产品以确定可行性。
在数据中心和云环境中投资微分段和/或服务连接层技术。
避免对 NAC 进行长期和/或战略投资,而仅进行战术或增量 NAC 投资。
战略规划假设:到 2027 年,在为其扩展员工队伍实施 ZTNA 技术的组织中,25% 将从静态、一次性基于上下文的身份验证和授权转向持续、动态、基于风险的访问控制。
主要发现:
ZTNA 是使用零信任架构部署的常见产品,但访问策略很少比它所取代的 VPN 更精细。
足够好的安全性仍然是部署产品的策略,只有更有雄心的组织才会尝试动态控制。
动态控制可以提高安全性,但也会给最终用户带来摩擦。一些组织不愿意为了业务风险的小幅下降而冒增加用户摩擦的风险。
市场影响:
SSE
希望提升零信任成熟度曲线的组织会发现许多 SSE 提供商为私有应用程序和 SaaS 访问提供更动态的访问。无法使用风险评分提供动态、基于上下文的访问控制的现有提供商将在续订时重新评估,以支持那些能够帮助希望实现更高级别成熟度以确保对关键应用程序和资源的访问安全的组织。Gartner 认为这是当今 SSE 评估的新兴驱动力,但相信随着组织寻求成熟其零信任能力,这种情况将会改变。
VPN
针对 VPN 替代品的独立 ZTNA 产品成本要高得多。实施提供基于上下文的访问控制但不利用零信任控制的 ZTNA 的客户会发现,当 VPN 替代方案提供类似的控制时,很难证明续订时的成本溢价是合理的。Gartner 认为,与 ZTNA 替代方案相比,VPN 将继续吸引注重成本的公司,这些公司认为 VPN 具有更高的投资回报率。
VDI 和 DaaS 希望通过零信任实施来降低数据丢失风险,但使用 DLP 或 RBI 功能较弱的动态性较低的 ZTNA 产品的组织将转向 VDI 或 DaaS 等替代方案,这可能会提供更好的数据安全结果并更好地服务于特定目标- 用户用例。Gartner 认为,某些用例(例如使软件开发人员能够安全地使用源代码)将继续推动 VDI 和 DaaS 的使用,而不是为这些用例提供 ZTNA 访问。
特权访问管理
高特权帐户应使用带有集成 PAM 控件的专用安全远程访问,无论其功能如何更具动态性和上下文性。此类用户通常具有对系统和资源的完全访问权限。访问的动态性较低,因为使用此类帐户的任何人都应该被要求拥有更严格的控制,而不需要建立更动态的风险态势评估。Gartner 认为,该用例的规模和利基要求将继续推动供应商采用将 PAM 功能与安全远程访问集成在一起的供应商,而不是一般的 ZTNA 替代方案。
建议:
如果组织部署了支持动态、基于风险的访问控制的 ZTNA,但尚未实施动态安全策略,请确定构成风险评分的因素、评分是否可以自定义以及评分交叉时应采取的动态操作某些阈值。
要求提供动态、基于上下文风险的访问控制的供应商向管理员提供用户分数变化的透明原因,并与可能因动态风险评分而改变其体验的最终用户进行清晰的沟通。
通过实施试点来发现由于更严格的访问控制而产生的异常,并围绕如何处理这些异常制定策略。
战略规划假设:到 2026 年,10% 的大型企业将拥有成熟且可衡量的零信任计划,而目前这一比例还不到 1%。
主要发现:
实施零信任的组织可能会实施技术控制,但不知道如何量化已减轻多少风险以及剩余多少剩余风险。
董事会经常与 CISO 在组织风险方面存在分歧,并且可能不了解他们从零信任投资中获得了多少价值。
存在许多零信任定义、原则和成熟度模型,但不能普遍应用于所有组织。
市场影响:
零信任策略必须由有关组织愿意进行多少投资以及从投资中获得的利益数额的业务决策驱动。随着组织提高将网络安全解释为商业投资的能力,零信任工作将不再是战术性和反应性的,而是与其他程序级安全工作一样,变得更加结构化、主动、范围化和可衡量。
供应商大力宣传零信任,美国国防部和 CISA等组织已将零信任概念应用于与组织相关的每个域和资源。零信任协议和技术(例如标准策略定义语言)以及衡量零信任有效性的操作指标都很少有标准。供应商经常引用自己的成熟度模型和针对其特定产品的基准测试服务。因此,零信任态势的基准测试充其量也很困难,没有所有人都可以遵循的通用标准。
范围和成熟度是另一个关键问题。组织必须定义零信任的范围以及零信任控制的复杂程度。并非每个组织都应该努力在所有资产的零信任控制方面达到最高的成熟度。零信任控制有效性的回报递减。
从互联网可见性中删除应用程序可以显着降低针对 Web 应用程序的最常见攻击类型的风险:外部黑客攻击和 DDoS 攻击。
进一步限制设备对应用程序的访问,而不是完全的网络访问,可以降低横向恶意软件传播的风险。
应用连续的、基于上下文的风险调整访问策略更进一步,可能适合最敏感的资源和有风险的用户。
组织必须考虑零信任技术的先进功能和其他控制措施,以了解硬成本、复杂性和管理开销的权衡——无论是配置还是解决最终用户生产力影响。
Gartner 客户对零信任的承诺感到兴奋,但很少有人关注零信任实施后的现实。处于进一步发展阶段的组织报告称,不同供应商之间的多个策略定义和策略引擎非常复杂,几乎没有标准化,因此存在障碍。历来,在 IT 环境中实施和维护最低特权访问一直很困难,零信任策略也不例外。目前,几乎没有零信任保证测试工具和服务来帮助组织确保资源在零信任控制内完全隔离,并确保预期策略得到执行。
建议:
不要认为零信任会消除网络威胁,而是要量化它可以限制多少损害。使用网络风险量化技术和结果驱动指标 (ODM) 向组织传达零信任投资。
首先实施零信任,以改善最关键资产的风险缓解,因为这是风险缓解获得最大回报的地方。
将零信任与其他预防性安全策略相辅相成,例如网络弹性规划和持续威胁和暴露管理 (CTEM)。
构建源自其他现有模型的自己的成熟度模型,例如 CISA 成熟度模型或特定于供应商的模型,以跟踪组织内部零信任目的和目标的进度。应该这样做,而不是采用成熟度模型中的相对基准评估,因为成熟度模型不适合您的组织。
投资实施后维持零信任状态所需的资源,包括测试资源隔离和遵守已实施控制的最低特权访问策略。