零信任成败的关键:微隔离
大多数企业的微隔离项目都失败了,这给企业的零信任道路蒙上了阴影。如果说“配置错误”是云安全的头号威胁,那么“微隔离“就是决定零信任计划成败的决定性因素。
零信任是企业数字化安全转型的必由之路,Zscaler《2023年零信任转型状态报告》指出,企业仅凭借防火墙和VPN等传统网络安全基础设施不可能实现安全的云转型。
但企业的零信任之旅正面临艰巨的挑战,根据Garnter的报告,虽然90%迁移到云的企业正在采用零信任,但只有22%的企业有信心利用零信任的诸多优势并实现业务转型;Gartner预测,到2023年至少99%的云安全故障原因都是用户错误导致,在多云配置中能否正确进行微隔离将决定零信任计划的成败。
微隔离是零信任的核心
微隔离指将网络环境划分为逻辑上的微小网段,并实施细粒度的安全策略,以最大限度地减少发生网络攻击时的横向“爆炸半径”。微隔离旨在隔离企业网络中定义的网段,减少攻击面的数量以限制横向移动。
Gartner将微隔离定义为“将安全策略插入同一扩展数据中心内任意两个工作负载之间的访问层的能力。微隔离技术可以定义细粒度的网络区域,直至单个资产和应用程序。”
在NIST的零信任框架中,微隔离被定义为零信任的主要组成部分之一,Forrester高级分析师DavidHolmes则指出:“全球2000强企业不可能完全抛弃物理网络,对他这些企业来说,没有微隔离的零信任不是真正的零信任。”
微隔离被业界看作是零信任的核心,但实施微隔离对于大规模、复杂的多云和混合云基础设施配置来说是一个艰巨的挑战。
随着企业IT环境越来越多地转向混合云和多云,微隔离的实施变得更加紧迫且复杂。因此,微隔离通常安排在零信任框架路线图的后期阶段,因为大规模实施微隔离通常需要比预期更长的时间。许多CISO都选择优先实施一些“速胜”的零信任项目后,在零信任计划的后期阶段安排实施微隔离。
一些成功部署微隔离的CIO和CISO建议企业优先采用零信任方法开发网络安全架构,专注于防护容易受到攻击的身份、应用程序和数据,而不是网络外围。而根据Gartner的预测,到2026年,实施零信任架构的企业中有60%将采用不止一种微隔离部署形式(基于网络、虚拟机管理程序或主机代理等),而2023年这一比例还不到5%。
人工智能是微隔离的“救星”
Forrester的调研发现,大多数微隔离项目都失败了,因为本地私有网络是最具挑战性的防护对象之一。大多数企业的专用网络是扁平的,并且无法达到微隔离完全保护其基础设施所需的级别。专用网络越扁平,控制和缩小恶意软件、勒索软件和开源攻击(包括Log4j、特权访问凭据滥用和所有其他形式的网络攻击)的爆炸半径就越具有挑战性。
人工智能、机器学习以及基于私有大语言模型(LLM)的新型生成人工智能为微隔离带来更高的准确性、速度和规模,有助于帮助企业克服实施微隔离的挑战。
企业可以用人工智能和机器学习技术自动化手工任务,大大提高零信任计划早期阶段的成功率。企业还能用机器学习算法来了解如何优化实施,通过强制执行最低访问权限保护每个身份,进一步增强效果。
如今领先的微隔离方案提供商都在积极进行研发和收购,以进一步增强其人工智能和机器学习能力。微隔离面临的挑战和机遇也吸引了大量网络安全创业公司投身其中,例如AirgapNetworks、AppGateSDP、AvocadoSystems和Byos,这些公司采用差异化方法来解决企业的微隔离挑战。
AirGapNetworks是2023年最值得关注的二十家零信任初创公司之一,该公司的无代理微隔离方法缩小了网络上每个连接端点的攻击面。可以对整个企业的每个端点进行分段,同时将解决方案集成到正在运行的网络中,而无需更改设备、停机或硬件升级。
人工智能从七个方面改变微隔离
人工智能和机器学习可以在以下七个方面大幅提升微隔离的准确性、速度和规模:
1、自动化策略管理
微隔离最大的难点是手动定义和管理工作负载之间的访问策略。人工智能和机器学习算法可以自动对应用程序依赖性、通信流和安全策略进行建模,IT和SecOps团队可以减少在策略管理上花费的时间。人工智能在微隔离中的另一个理想用例是模拟政策变化并在执行之前识别潜在的干扰。
2、更具洞察力的实时分析
实施微隔离的另一个挑战是利用大量的实时遥测数据源,并将其转化为统一的报告方法,从而提供对网络环境的深度可见性。基于人工智能和机器学习的实时分析方法提供了工作负载之间通信和流程的全面视图。事实证明,基于机器学习算法的高级行为分析可以有效检测东西向流量的异常和威胁。这些分析提高了安全性,同时简化了管理。
3、更自主的资产发现和隔离
人工智能可以自主识别资产、建立通信链路、识别攻击行为并下发微隔离规则,无需人工干预。这种自主能力减少了执行微隔离所需的时间和精力,减少了规则制定中出现人为错误的可能性。
4、可扩展的异常检测
人工智能算法可以分析大量的网络流量数据,从而识别异常模式。这可以实现可扩展的安全措施,同时保持最佳速度。通过利用人工智能进行异常检测,微隔离可以扩展到广泛的混合环境,同时不会产生大量开销或延迟,确保了在环境扩展的同时保持安全有效性。
5、简化与云和混合环境的集成
通过人工智能技术识别优化扩展和策略执行的障碍可以改善微隔离在本地、公共云和混合环境中的集成,在异构环境中提供一致的安全态势,消除攻击者可能利用的漏洞,还降低了操作复杂性。
6、自动化事件响应
人工智能可以自动响应安全事件,从而缩短响应时间。微隔离解决方案可使用经过训练的机器学习模型来实时检测网络流量和工作流程中的异常和恶意行为模式。这些模型可在正常流量模式和已知攻击特征的大型数据集上进行训练,以检测新出现的威胁。当模型检测到潜在事件时,预定义的剧本可以启动自动响应操作,例如隔离受影响的工作负载、限制横向移动和向安全团队发出警报。
7、增强协作和工作流程自动化
人工智能简化了团队协作并实现工作流程自动化,减少了规划、分析和实施所需的时间。通过增强协作和自动化,人工智能优化了整个微隔离生命周期,可以更快地实现价值并保持持续的敏捷性,从而提高安全团队的生产力。
总结:人工智能是微隔离成败的关键
微隔离对于零信任架构至关重要,但其扩展的难度很大。人工智能和机器学习在几个关键领域已经展示出简化和加强微隔离的潜力,包括自动化策略管理、提供实时见解、实现自主发现和分段等。
人工智能和机器学习技术带来的准确性、速度和规模可帮助企业克服实施挑战并提升微隔离能力,减少攻击的“爆炸半径”、阻止对手横向移动并帮助企业在复杂的多云环境中安全发展。