零信任：出海路上的合规新“钥”

如今,监管合规已成为各行各业最为紧迫的挑战之一。随着全球监管环境不断发展,企业往往难以跟上新规则的要求、现有标准的更新以及跨司法管辖区的执法趋势。同时,新兴技术的迅猛发展也给合规性带来了前所未有的挑战。例如,人工智能等新技术在金融领域被广泛应用于客户身份验证和交易监控,而这些都是合规性要求的重要部分。此外,不断增加的网络安全威胁也使得数据安全漏洞等问题成为企业安全合规的重要考量因素。因此,有效应对新技术带来的合规性挑战已成为企业迫切需要解决的问题之一。

据调查,超过一半 (57%)的公司计划今年在数据监管合规性上花费更多时间和金钱。数据合规性是确保组织及其系统满足法律、法规和运营数据要求的过程。可以说,数据合规是所有数据驱动型业务的先决条件。确保数据安全合规,有利于企业与客户建立信任,保护公司免受数据泄露和合规违规行为的影响,包括代价高昂的处罚以及对商业声誉的长期影响。

然而,由于数字技术促使数据应用的场景和参与主体日益多样化,数据安全的外延不断扩展,许多企业面临着数据安全与合规的多重挑战,包括如何应对不同地区不断变化的法规、管理和保护数据过程中的复杂操作以及明确企业环境的边界等。

企业维持数据安全合规的主要挑战

随着技术的不断发展,网络威胁变得日益复杂和难以预测,黑客攻击、数据泄露、勒索软件等威胁不断涌现,给企业数据安全带来了巨大的风险。同时,随着个人数据保护法规的推出,法律法规对企业处理个人数据的要求也越来越严格。另外,企业还面临着来自内部的安全威胁,员工失误、不当行为或恶意行为可能导致数据泄露或滥用等问题。

· 传统安全架构无法应对不断变化的法规要求

企业面临复杂的法规要求,不同地区常见的监管框架都有各自网络安全合规方面的内容,包括NIST 网络安全标准、ISO /IEC 27001 、PCI DSS 、GDPR、CCPA、SOC 2等。这些合规标准通常要求组织通过持续监控、深度可见性以及对内部和外部用户的强大访问控制来防御网络威胁。

许多公司尝试传统的网络分段方法,例如使用传统防火墙或 VLAN。虽然改善了内部和外部的访问控制,但也存在挑战。例如,PCI DSS 需要跨 CDE 进行控制。即使放置防火墙也可能很困难,因为在同一虚拟机管理程序上的两个容器或两个虚拟机之间放置防火墙可能需要一组完全不同的技术和 API。此外,通过这些方法更改分段策略以保护资产或使其超出范围意味着更改基础设施。这通常涉及数据中心内团队之间的大量协调,无疑会导致不便。最后,对于传统方法,可见性也是一个常见问题。企业缺乏有关东西向流量的实时和历史数据,很难证明超出范围的系统与其 CDE 是分开的。这种问题当企业IT基础设施包括动态边界时更是难以应对。

· 企业需要面对复杂的审核过程

对于安全团队而言,合规性评估是最消耗时间和资源的任务之一。当企业向无边界的数字环境及远程办公转变,这种挑战变得更加严重。企业通常需要隔离微环境、为管制资产建立安全围栏,以满足各项合规性标准。企业在面对复杂的合规要求的同时,还需要应对远程用户、公司本地用户、合作伙伴、供应商等,这使得企业环境的边界几乎无法确定。访问控制是审核成功与否的重要因素之一。安全团队在准备审核时,必须思考如何限制对敏感信息的访问,以使其仅向授权用户开放、如何确定审核环境的范围、如何简化审核过程并减少混乱等复杂问题,这无疑为企业增加了不少成本支出。

· 勒索软件攻击数量的攀升

根据Cybersecurity Ventures预测,到2031年,勒索软件将每两秒攻击一家企业、一位消费者或一台设备。勒索事件已经成为各种规模企业面临的最大挑战之一。根据Akamai观察,由于零日漏洞和一日漏洞的滥用, 2023年第一季度的勒索软件受害者数量与 2022年第一季度同比增加 143%。

Akamai分析,若企业具备以下特点,勒索软件团伙将更有可能发起攻击:

- 隐形信任,对用户、应用程序和网络的隐性信任让成功入侵网络的攻击者能够横向移动并传播恶意软件;

- 过度授权的访问策略会导致可能注入勒索软件的感染;

- 仅以密码作为信任凭据的系统将会为凭据盗窃提供机会。

面对种种复杂的挑战,当前企业迫切需要采用新的安全架构来确保数据的安全和合规性,以应对不断增长的安全威胁和监管要求。

Zero Trust破解合规性和网络安全挑战

为了应对以上这些趋势的挑战,一种新型安全方法应运而生——zero trust,它基于身份验证、突破地点制约以及能够采取主动措施处理漏洞。Zero Trust安全架构既能够提供用于保障访问安全的强大用户身份,又能在攻击发生时实施主动抵御。

· 颠覆传统,零信任面对复杂的监管要求“得心应手”

零信任模型是一种网络安全战略方法。它颠覆了传统的网络安全范式,在这种范式中,企业网络内的用户、设备、应用程序是隐式信任的。采用零信任方法,组织内部和外部的用户、设备和应用程序必须针对每个访问 IT 资源的请求进行身份验证和授权。 随着远程工作、云计算和 BYOD 使传统网络边界几乎变得过时,零信任安全有助于阻止网络安全威胁并限制成功网络攻击的爆炸半径。

许多监管框架需要强有力的数据保护措施。零信任和微分段不仅通过严格控制和监控对敏感数据的访问来支持合规性,同时也有助于解决内部威胁——对于需要防范内部威胁的法规,最小权限原则可确保每个用户只能访问任何任务所需的资源,从而降低恶意内部人员带来的风险。其次,零信任将有助于合规环境的细分。使用微分段将网络资产划分为更小的安全控制区域,利用零信任可以满足要求某些数据与 IT 基础设施其他部分隔离的法规。最后,零信任原则可以扩展到所有用户(包括供应商和第三方),这无疑极大地帮助组织确保了对严格控制供应链安全法规的要求遵守。

针对PCI DSS的合规性挑战,微分段技术通过细分网络、限制第三方用户访问权限以及提供实时可见性,帮助企业有效解决这一难题。相比传统方法,基于软件的微分段解决方案能够显著减小合规范围,降低合规成本和工作量,并帮助组织满足监管要求。实施PCI DSS微分段的步骤包括获取可见性、不依赖基础设施、考虑抽象安全需求,并持续监控和改进策略,以适应不断变化的环境和威胁。

· 大幅简化合规流程并减少风险

采用Zero Trust 方法可有助于帮助企业简化合规流程并有效降低风险。显式验证以及支持最低访问权限是 Zero Trust 的两大关键能力,能够大幅度简化合规工作流程。企业可以将管制资产与数据中心或云的其他流量隔离,并根据身份而非位置允许访问。借助监测能力,企业可以看到监管环境的进出流量,确定范围中的内容。这能够大幅降低审核的复杂性和成本,简化审核员的工作。同时,零信任通过与微分段实现整合,将通过不断验证数字交互的各个方面并主动遵守侧重于风险评估和管理的监管要求来识别和减轻风险。

· 强化勒索软件防护盾

通过实施Zero Trust架构,访问控制策略和微分段能够最大限度地限制此类攻击可能造成的破坏。攻击者将更加难入侵系统,而且扩张能力也将受到限制。Zero Trust将分别从初始感染、横向移动及数据泄露和加密等不同步骤进行应对,加以防范。

如何以零信任守护安全合规零风险

我们建议企业可以采取以下策略,构建零信任架构以满足合规安全需求:

1. 高管领导: 在零信任项目团队中,最好由企业高管担任领导角色,而非IT或安全团队,以确保全面的零信任部署。企业高管具有更广泛的视野和对企业战略的深刻了解,能够更好地协调各部门工作,推动零信任在整个企业的有效实施。他们拥有更高的权力和决策能力,有助于推动零信任部署的顺利执行。

2. 多角度评估成熟度: 企业在实施零信任前,最好参考行业指南,从用户、数据、设备和云端等多个角度评估零信任的成熟度。

3. 融入微分段技术: 微分段技术可将网络划分为隔离的安全区域,作为零信任战略的重要组成部分,有助于减少网络攻击面,提高数据和资源安全性。微分段技术使组织能够快速识别和隔离网络上的可疑活动。

4. 与专家紧密合作: 在零信任部署过程中,建议企业与专业的技术解决方案提供商合作,利用其技术和资源促进跨部门、跨团队的合作。通过共同解决大方向上的问题,借助同一平台搭建成功的零信任架构。

随着各地对数据合规的立法越发健全,企业逐渐步入数据合规的“深水区”。通过零信任架构精细的权限管理,企业能够更好地保护数据资产并确保合规性,将安全防御的重心从静态的、基于网络的边界转移到专注于用户、资产和资源,助力企业在不断变化的数据保护和合规性世界中破浪前行。

（ 刘炅  Akamai大中华区产品市场经理 ）