打造零信任数据中心需做好十件事
根据Resecurity对数据中心、云计算服务商的深入调研,数据中心最容易受到攻击的媒介是数据中心服务器上运行的客户支持、客户服务和工单管理支持门户。成功驻留的黑客可以获得足够的控制权来窃取数千条客户记录并泄露公司最机密的数据。
例如,黑客曾成功入侵亚洲最大的两家数据中心运营商上海万国数据控股有限公司和新加坡ST Telemedia全球数据中心,窃取了电子邮件、密码等客户数据。
打造零信任数据中心的关键方法
这些震惊全球的网络安全事件让人们意识到,数据中心的信任设计必须遵循最基本的零信任方法:假设数据中心已经被入侵,必须立即遏制和终止进一步的破坏,尤其是当没有正确配置的本地数据中心扩展到云端时。
根据Venturebeat的调研,CIO和CISO打造“零信任数据中心”的关键方法是:以SASE(安全访问服务边缘)为基础,以ZTNA(零信任网络访问)为核心。企业通过SASE大规模实施ZTNA来改善安全状况,同时帮助巩固数据中心和企业范围的安全性。
每个CISO的SASE路线图上都应该有SASE的一席之地。根据Gartner的预测,ZTNA将成为全球增长最快的网络安全细分市场。预计2021年至2026年间,全球复合年增长率将达到27.5%,从6.33亿美元增至21亿美元。
Steward Health的CISO Esmond Kane认为:“从本质上讲,SASE就是零信任。我们谈论的是身份、认证、访问控制和特权。以此为基础再扩展。”
从管理角度来看,CIO和CISO在网络安全方面的角色重叠,因此必须共享数据中心安全成果。Hitch Partners今年早些时候发布的一项针对650名企业安全高管的调查显示,19%的上市公司和46%的私营公司中,CISO事实上同时担任了CISO和CIO的双重角色。
根据Foundry的《2023年CIO状况研究》调查,越来越多的董事会正考虑将数据中心安全纳入风险管理之中,88%的董事会现在将网络安全视为一种商业风险。网络安全已经超过云计算、物联网和人工智能,成为推动2023年全球企业技术预算增长的最重要因素。
根据Foundry的报告,企业董事会也普遍支持在安全和风险管理上投入更多资金,进一步支持通过SASE和ZTNA框架强化保护数据中心。
零信任数据中心的十大安全要务
攻击者并不缺乏已知的网络安全漏洞,他们试图在不被发现的情况下利用这些漏洞。从连接整个企业的数据中心的不安全网络到依赖基于边界安全的遗留系统,许多数据中心随时可能发生数据泄露。
企业数据中心本来就存在很多漏洞,当企业将工作负载转移到云端通常会进一步扩大攻击面。其中混合多云平台是风险最大、保护难度最大的平台之一。那些安全能力较强的企业通常将数据中心网络安全策略建立在经过验证的框架上,其中SASE和ZTNA最为流行。
以下,是企业以SASE为基础,以ZTNA为核心打造“零信任数据中心”的十大要务:
1.首先优先考虑身份安全,使用单点登录(SSO)和多重身份验证(MFA)
Forrester高级分析师Andrew Hewitt指出:“(零信任计划)最佳起点始终是实施多因素身份验证,从而帮助企业使用统一端点管理(UEM)工具维护可靠的合规性标准。”
2.让审核访问权限、删除过时帐户和审查管理权限成为企业的“肌肉记忆”
根据Ivanti的2023年网络安全状况报告,45%的企业认为,由于取消访问的流程不一致或不存在,前员工和承包商仍然可以主动访问公司系统和文件。取消配置的情况也很少发生,导致第三方应用程序仍然可以访问数据。Ivanti首席产品官Srinivas Mukkamala表示:“大型组织往往无法有效管理由应用程序、平台和第三方服务组成的庞大生态系统,员工离职后往往仍拥有访问权限。”
3.考虑替换无法监控身份、角色和特权访问凭证活动的过时IAM系统
长期用于保护网络和数据中心的传统IAM系统往往难以满足管理当今大量新身份的需求。只能跟踪跨角色的部分身份活动、特权访问凭证的使用和实时使用的端点的IAM风险太大。此外,传统IAM系统存在很多漏洞,攻击者可以通过在暗网上悬赏来获取金融服务的会计和财务系统的特权凭证。
4.微分段可以减少发生漏洞时数据中心的横向移动和攻击面
要成功部署支持ZTNA的SASE框架,需要首先假设数据中心已遭到入侵。防御者的目标是立即阻止攻击者横向移动并减少攻击面威胁。
NIST的零信任框架优先考虑微分段和基于身份的治理、身份验证以及网络和端点安全管理。在北美市场,Airgap Networks、AlgoSec、ColorTokens、Illumio、Prisma Cloud和Zscaler的云平台都纷纷使用微分段来尽早检测和阻止攻击尝试。
5.跨端点和数据中心的实时资产管理是关键
CISO使用IT资产管理系统和平台来查找和识别网络设备、端点、相关资产和合同。将基于机器人的资产发现任务与AI和ML算法相结合,可提高IT资产管理的准确性和监控。
6.实时遥测数据可以延长端点生命周期,捕获容易被错过的入侵尝试
端点安全需要实时端点遥测数据来检测入侵和破坏。这些数据还有助于识别每个端点各个级别的硬件和软件配置(文件、进程、注册表、网络连接和设备数据)。在北美市场,Absolute Software、BitDefender、CrowdStrike、Cisco、Ivanti和Microsoft Defender for Endpoint(保护Microsoft Azure中的端点数据)以及其他领先安全厂商已经开始使用实时遥测数据来生成端点分析。
CrowdStrike、ThreatConnect、Deep Instinct和Orca Security则使用实时遥测计算IOA和IOC。IOA可以识别攻击者的意图和目标。IOA和IOC常被用于提供网络攻击证据,因为自动化IOA可提供准确、实时的数据,以了解攻击者的意图并阻止入侵尝试。
7.随着数据中心端点分配的身份越来越多,需要对关键数字证书管理进行重点审核和改进
有效管理和保护机器对机器的通信需要每台联网设备对应一个唯一身份。端点上的身份越多,端点安全防护就越困难。
企业需要优先考虑使用密钥和数字证书管理,例如为SSL、SSH密钥、代码签名证书、TLS和身份验证令牌来分配数字身份。由于网络攻击者经常绕过代码签名证书或破坏SSL和TLS证书来攻击SSH密钥,数据中心安全团队必须确保每台机器的身份准确、可靠且值得信赖。CheckPoint、Delinea、Fortinet、IBM Security、Ivanti、Keyfactor、Microsoft Security、Venafi和Zscaler是该领域的领先提供商。
8.数据中心端点需要能够识别并自动化修复
大型企业的CISO往往需要管理五个甚至更多时区以外的数据中心。由于许多企业安全预算紧缩,派遣员工的成本过于高昂,许多厂商和企业用户正在评积极估和部署自我修复端点,这些端点可以捕获实时遥测数据并采取行动,在遭到入侵时进行自我重建,并且可以在必要时进行编程。
总之,缩小身份管理和端点安全之间的差距是零信任的未来,也是企业面临的最大安全挑战之一。
9.从端点开始,为每个数据中心威胁面部署基于风险的条件访问
企业需要根据设备类型、设置、位置和异常行为,在最小权限访问会话中启用对应用程序、端点和系统的基于风险的访问。实时风险评分由网络安全供应商使用机器学习算法计算得出。CrowdStrike的Raina透露:“仅当风险级别发生变化时才会触发MFA(多因素身份验证),从而确保在不影响用户生产力的情况下提供保护。”目前,北美市场提供基于风险的条件访问的领先供应商包括CheckPoint、CrowdStrike、Fortinet、IBM Security、Ivanti、Microsoft Security、Venafi和Zscaler。
10.数据驱动的自动化补丁管理可大幅减少IT团队工作量
大多数受访的CISO表示,他们的IT团队因项目和紧急请求而不堪重负,无法处理需要更新的设备库存,这意味着大规模补丁管理需要数据驱动的新方法。
目前,全球领先的银行、金融服务和制造企业,以及运行多个数据中心的CIO和CISO们正在采用人工智能和机器学习系统来更新数据中心数以千计的设备。该领域领先的供应商包括Broadcom、CrowdStrike、Ivanti、SentinelOne、McAfee、Sophos、Trend Micro、VMWare Carbon Black和Cybereason。
结论:CIO和CISO需要拧成一股绳
CIO和CISO需要合作定义统一的数据中心网络安全策略。目前,许多企业的数据中心仍采用基于边界的传统安全防护。而选择以SASE为基础、以ZTNA为核心的战略是当今许多银行、保险和金融服务企业的发展方向。
攻击者的速度比当今最高效的IT和安全运营团队还要快。为了保护数据中心,CIO、CISO及其团队必须首先从保护身份开始。上述“零信任数据中心”10大优先事项同时也是企业提升安全能力的路线图。