back

Gartner:7 Effective Steps for Implementing Zero Trust Network Access

概述
主要发现
  1. · 历史架构行为在远程访问购买者中保持一致,这种行为差距给零信任网络访问(ZTNA)采用带来了挑战。 零信任网络访问不是一种“一劳永逸”的技术;它本质上依赖于不断迭代的过程,需要访问策略随着业务和风险水平发生变化。
·  一些最终用户组织报告说他们已经完全取代了使用云托管零信任网络访问解决方案的传统 VPN,但政策实施过程中的发展遇到了挑战。
·  零信任网络访问可能会提供优于传统 VPN 的优势; 然而,它的部署应该是与企业的零信任策略、企业领导者对其用户群的远程访问要求保持一致,并使用基于风险的方法进行优化组织安全态势。
·  2022 年,人们对实施零信任策略产生了浓厚的兴趣和趋势,营商环境持续改善。2022 年前6个月与 2021 年同期相比对此主题的询问增长了 34%。

建议
负责基础设施安全的安全和风险管理领导者应该:
· 使用连续生命周期方法来更清楚地了解远程访问风险级别和必要的策略要求,并能够
根据企业的风险偏好调整准入政策。
· 利用零信任的原则与企业领导者开展关键对话,这将在实施之前提供指导并帮助实现其业务目标,任何零信任网络访问技术都不是作为孤立的答案。
· 建立政策治理范式,帮助定义“谁有权访问什么”关于用户、设备、应用程序和数据分类,从身份和访问开始要求。
· 进行定期评估以确认受保护资源的隔离和验证用户对资源的访问权限。

介绍
零信任网络访问产品作为一种为用户提供最少服务的方法正变得越来越流行,业务应用程序的特权代替传统的远程访问VPN。传统的远程访问VPN仍然主要以许可证续订和网关的形式出现升级。然而,这些成熟的 VPN 技术继续解决以下问题:零信任网络访问堆栈不满足集成的技术要求,或者零信任网络访问堆栈不满足集成的技术要求试点尚未说服关键决策者。

虽然许多客户和供应商已经将ZTNA整合到云交付中,尽管如此,Gartner仍然认为部署这种ZTNA功能是一种安全服务优势,用于某些特定用例的独立解决方案,例如保护对数据库的远程访问,远程维护操作技术(OT)或Internet的扩展劳动力事物基础设施,或应用程序访问特定监督会话的地方,管理是必需的。

尽管 ZTNA 持续稳定地被采用,并且它提供了安全优势,最终用户组织仍在努力制定政策以成功部署ZTNA。 本研究报告概述了企业可以采用的实用方法,以便安全和风险管理领导者可以避免陷阱并实现更顺利的以及更有效的 ZTNA 实施。

ZTNA 实施需要连续的生命周期方法,这种方法可以分为七个步骤,这对于成功部署至关重要。 这些步骤图 1 中概述了这些内容,并在下面的分析部分中进行了详细说明。

图 1:零信任网络访问生命周期

分析
与商业领袖一起定义目标和范围

有效实施 ZTNA 更具挑战性的方面之一是管理业务领导者和最终用户社区的期望。一些企业领导者会对实施 ZTNA 及其对企业的影响表示担忧最终用户体验、策略管理员或变更管理流程。

安全和风险管理领导者必须与业务领导者合作以了解他们的目标是制定强有力的基础零信任战略。合作与商业领袖的合作是推动最终规划的“必备”基础,业务目标与选择、实施和最终状态目标之间的关系,配置 ZTNA 技术解决方案以实现预期结果。

在与企业领导人协商时,强调 ZTNA 将如何减轻业务影响风险,同时提高可用性和可管理性。告诉这些商界领袖新的 ZTNA 模型允许比传统的更安全的资源连接访问方法,同时为企业建立更强大的安全态势。这ZTNA 解决方案中可能实现的增强安全性和策略灵活性调整将有助于减轻人们对过渡到这项新技术的担忧。

开发一个由应用程序、用户和核心组组成的结构化范围设备,通常从“简单用例”开始,作为初始概念证明的一部分,就像完全远程的知识工作者一样。然后与企业领导者合作确定
该组中最复杂的用户,例如进行远程操作的特权承包商维护或本地管理员远程工作。通过识别两端的ZTNA用户频谱和部署复杂性、安全性和风险管理,领导者将设定对过渡步骤和时间表的正确期望。

这个小组将形成衡量进展的基线,并应概述将被包括和不被包括的应用程序,比如不被包括的遗留技术适用于ZTNA(例如,大型机),以及哪些用途将被包含在最初的项目。这种结构化的分组将遵循所描述的每个部分。在整个研究过程中,随着时间的推移,业务将迭代使用其他应用程序和用户。

理想情况下,选择ZTNA技术提供商不应该先于商界领袖的战略规划。战略规划将最终形成特性需求并推动潜在的ZTNA技术供应商评估指标的选择。然而,Gartner已经见证了一个与ZTNA提供商合作的小型试点的例子帮助细化期望,增加内部知识。如果一个ZTNA产品已经获得后,继续进行本研究中的建议并基于产品功能的期望调整业务。

将业务目标与零信任策略保持一致
零信任是一种用持续评估取代隐性信任的战略方法明确的信任。它基于安全基础设施支持的身份和上下文可以适应组织的风险偏好,从而提高安全成熟度。在最高业务级别,零信任的几个关键原则是:
· 在假设妥协的模式下操作。
· 使用身份和上下文作为访问决策的基础。
· 永远不要盲目信任;在允许访问之前始终进行验证。
· 提供足够的资源访问权限。
· 消除隐性信任;实现显式信任。
· 加密静态和动态数据。
· 实时监控并验证所有操作。

最终,零信任将用户安全地连接到应用程序。为了每个业务部门的目标并制定提高业务生产力的政策,安全与风险管理领导者必须平衡组织的安全与业务的安全。例如,根据高度可变的环境设置持续的信任评估或采取二进制阻止和允许操作会导致最终用户感到沮丧。 ZTNA必须依靠建立可靠的信任评分的质量信号,并提供良好的背景和消息传递向最终用户解释为什么访问受到限制或阻止。这种方法会有所不同,具体取决于行业类型、业务规模、监管要求、云采用路线图以及内部数据分类。

零信任策略的构建模块如下:

· 通用身份管理构造定义: 
· 需要访问目标的用户(帐户) 
· 用于访问目标服务的设备(源端点) 
· 一组定义权限的自适应访问控制,需要: 
· 与身份构造集成 
· 建立与需要访问的用户关联的设备上下文 
· 识别和发现工作负载、系统和应用程序目的地
· 基于风险承受能力的适当访问控制

这种方法及其原则应该成为安全与风险的指路明灯,管理领导者在 ZTNA 和任何其他相关部署方面取得进展,可能符合零信任原则的技术。

关注身份和适当的访问权限

一些最终用户组织报告称,他们已将 ZTNA 配置为授予用户访问所有应用程序,这与传统的配置类似VPN 系统。这种方法的问题在于企业没有接收到充分发挥ZTNA的效益和价值。

为了成功实现 ZTNA 的全部优势,企业应确定 ZTNA 将产生最大影响的“用户到应用程序到数据”用例(例如,控制对敏感应用程序和数据的访问或向特定用户授予访问权限承包商等团体)。在需要安全访问的企业内还应针对相应领域制定具体政策。

访问用例在业务访问策略和访问策略中定义应该是用户和/或设备标识的组合,与支持上下文数据。企业的安全风险偏好控件将其映射到一系列控件或权限。身份和语境成为将驱动决策过程的关键元素,可以访问这些元素应用程序和数据,以及它们被授予的访问或权限级别。

ZTNA在很大程度上依赖于身份访问管理,它由几个管理时和运行时支柱,包括身份治理和管理(IGA)和访问管理(AM)等。IGA,连同其他管理时身份安全态势工具,如云基础设施授权
管理是减少攻击面并确保身份只携带必要数量的特权——不多也不少。这些然后可以在运行时使用身份,由AM工具提供用于强制身份验证授权,在资源被使用的那一刻。相关的ZTNA技术依赖于AM在执行时传递的内容(即,帐户权限,用户行为,以及其他身份会话计算风险),以决定是否允许或拒绝访问,或加强对该ZTNA工具范围内受保护资源的身份验证。有关详细信息,请参阅快速回答:如何进行访问管理和零信任网络访问工具协同工作?

启动 ZTNA 之前记录和地图应用程序的使用情况执行

许多组织等到他们实现了ZTNA解决方案之后才开始研究用户和应用程序之间的关系。他们开始使用应用程序发现工具由ZTNA供应商提供,或使用其他现有的数据流映射工具。然而,一些早期采用者报告说他们“得到了”通过在实施ZTNA之前开始一个发现过程来领先于解决方案。

Gartner观察到两种主要方法:
1. 全面,但耗时:通过映射应用程序来定义策略和用户在实现之前。如果打算在ZTNA之上部署额外的零信任对齐技术,这是首选的方法部署。示例:微分段或基于身份的分段。
2. 策略性和渐进式:有意地确定一个小而孤立的群体应用程序,以及一个小的用户团队。用它作为基准评估所需的总时间,工作流管理的健壮性和文档流程。

使用最初通过与来自的业务领导协作进行的工作,不同的部门(市场、财务、销售等)来确定哪些应用程序,您的团队应该要求访问,包括承包商(如果有的话)。安全领导是然后能够制定理论访问策略和相关的工作概况。工作概要文件定义了远程工作访问的可能性,因此也定义了相关的安全需求(参见图2)。安全团队的目标应该是:

· 收集足够的信息来理解基于的远程工作策略。
· 用户角色和团队列出每个用户类别的关键应用程序和计算模型。
· 确定数据隐私要求。
· 将这些远程工作概况与现有的风险评估相结合员工的作用。

图2:员工远程工作配置文件的关键组件

访问策略和工作配置文件应基于支持零信任策略并应与企业的访问期望保持一致。这为企业的每个团队提供一套标准,确定哪些应用程序允许以及应授予何种级别的风险适当的访问权限。这使得安全团队可以通过 ZTNA 部署更快地取得进展。

早期采用者报告说,在 ZTNA 之前执行应用程序映射部署有助于验证该策略。应用程序映射工具可识别谁在使用每个应用程序以及该应用程序的访问方式;他们还可以绘制应用程序之间的依赖关系图。
ZTNA 项目经理报告说,即使他们可以使用应用程序发现工具,确定哪些用户需要访问哪些应用程序需要进行大量工作。 一建议扭转该方法并识别单个应用程序,然后映射用户。最好尽早开始这项工作,然后迭代其他应用程序,需要如下所示。

许多 ZTNA 供应商提供此功能作为解决方案的一部分(如果部署在“开放”或“监控”模式,一些采用者已利用这一点来发挥自己的优势。其他正在进行中的方法(例如使用组织内已部署的工具集)可以提供帮助。执行基于工具的映射不是强制性步骤应用程序;但是,如果有可用的工具,它确实有助于 ZTNA 用来部署过程。

通过消除过程,安全领导者可以利用这些映射工具来验证所定义的理论政策是否满足商业领袖的访问期望。在此过程中识别其他访问用例并不罕见,在制定访问政策期间可能没有确定的问题。

而许多组织并没有一个修改的过程访问策略,这样做是至关重要的。最初,保留访问权限
策略相对宽泛,基于业务风险偏好的长期政策增加了策略的粒度。这将降低您的操作周期和故障排除期间部署的初始阶段。避免设置和忘记政策。

通过首先建立策略,然后验证应用程序的使用情况,企业可以将理论与实际联系起来。这可能会关闭任何一个不可预见的差距或为业务未意识到的用例建立新的策略。这将产品巩固到一个强大的战术位置,以满足组织的主要需求在整个企业中部署零信任技术的目标。

清理对应用程序的访问

在发现和映射阶段,许多现有的应用程序访问策略将被删除,可能需要调整和调整。这是消除应用程序的好机会,不再相关的访问权限和授权。到了这个阶段过程中,安全领导者应该有很好的了解:

· 哪些用户或系统需要访问应用程序和数据源
· 哪些已建立的业务数据源受到应用程序的保护,以及对需要访问的数据进行分类
· 用户应如何以及在何处访问应用程序和数据 
· 谁有权或使用特权访问以及出于什么目的 
· 哪些资源受到业务认可,以及用户正在使用的验证他们以预期的方式
· 哪些应用程序不受制裁以及为什么使用这些应用程序 
· 应消除或限制使用哪些应用程序或工具

一些组织已向 Gartner 报告称,他们调整了远程访问升级应用程序和服务现代化的总体路线图。这促使企业推迟对某些应用程序的访问权限的更改,因为该应用程序计划迁移到 SaaS 模型。

一些 ZTNA 早期采用者报告说,他们能够更改或消除已转换为不同角色或已离开公司的用户的权限,这是用户生命周期管理不善的一个例子。一些早期采用者还报告称,他们终止了与其合作的各方(承包商)的访问权限,他们不再有业务关系。

在此应用程序清理过程中,IGA 指南和访问策略都应必要时进行维护和更新,以便基线业务政策不会下降或与正在实施的变革不同步。
为运营开销和复杂性做好准备

安全是一个连续的生命周期;它永远在发展,采取“一套”ZTNA 政策的“忘记”方法是不现实的。具有 ZTNA 经验的组织部署报告称他们正在不断调整策略。和新的一样部署应用程序或数据源(包括季节性应用程序)后,ZTNA团队将需要添加新的访问策略以适应变化
商业。 现有的访问策略也可能需要作为应用程序或数据进行修改源(类型)发生变化,或者当安全领导者发现需要更细粒度或限制性政策。

这也可能潜在地影响服务台或ZTNA的流程更改实现团队没有做好准备,并且被访问请求淹没,开放对以前可以访问的其他资源的访问。ZTNA应该充分利用工具功能来促进和记录任何策略变化。

ZTNA团队应该接受这样一种心态:总是有需要改进的地方,随着时间的推移,细化访问策略。与客户保持沟通是很重要的,应用程序和系统所有者要了解:
· 用户应该访问业务部门内的哪些资源? 
· 哪些内部和外部用户需要访问权限,以及他们应该如何访问系统?
· 业务部门内的哪些资源需要提升特权?为什么? 
· 哪些应用程序或数据应受到限制或需要业务部门额外批准?
· 是否有任何新项目或重大变化可能需要政策修改?

这些问题的答案可能会促使对既定访问的更改策略,并在ZTNA生命周期内将流程推向新修改、经过测试和验证的访问策略。

过于严格或大量的细粒度策略最初将影响服务台团队或ZTNA实现团队,因此必须开发一个明确的例外流程地址访问请求修改。企业必须确定它应该授予支持团队多少进行任何访问修改的自主权和允许更改访问级别。异常流程必须维护一个验证步骤,以便在修改访问策略时,它们继续与业务预期和不引入不必要的风险。

部署ZTNA策略可能会带来一些操作上的变化。例如,帮助台和IT支持人员应该意识到典型的端点管理,这可能依赖于第三层VPN访问端点(用于修补或远程支持),将需要替代的管理路径。许多ZTNA提供商都在引导流量在应用层(第7层),所以自动更新任务可能有在新的ZTNA下,在传统VPN上工作成功的VPN可能不再工作模型。与端点管理团队合作,在实现ZTNA解决方案之前使端点管理现代化。(有关更多信息,请参见使Windows现代化和第三方应用程序补丁。)

验证访问控制和资源隔离
零信任的一个关键原则是永远不要隐式信任,而要始终验证。这个理想的验证原则也应应用于业务的内部安全及整个企业的控制和实现。

信息安全是一个连续的生命周期,包括战略、架构、实施、操作和验证。验证阶段常常被忽视;这就是企业应该评估自己的安全控制并建立已知的“现状”状态每隔一年遵守一次。安全控制的验证应该是ZTNA规划过程并纳入整体安全方案。安全领导者应该制定一个计划和流程来测试和验证方法的有效性ZTNA政策。

保证评估可以有多种形式,例如内部自我评估、ZTNA 解决方案或外部咨询公司内的安全报告工具提供控制测试服务。测试计划的目标是了解两个领域:隔离受保护的资源,保证受保护的用户的访问权限系统符合组织的访问策略。该验证建立了当前ZTNA 环境的合规状态,并揭示可能存在的任何潜在差距需要补救。

建议一旦部署 ZTNA 技术并且相对稳定已实现,企业应对ZTNA进行保证评估环境。应定期进行此类安全评估,主要由组织的风险偏好驱动。一般来说,大多数组织将通过与外部或第三方安全咨询公司合作来执行此步骤,其顾问精通现代攻击技术。

证据
这项研究基于 Gartner 对多个早期和成熟采用者的采访
ZTNA 技术。

有关零信任成熟度模型的更多信息,请参阅网络安全与基础设施安全局的 CISA 零信任成熟度模型。欲了解更多信息零信任架构,请参阅国防部的零信任参考架构。

文档修订历史
实施零信任网络访问的最佳实践-2021年6月10日

作者推荐
某些文档可能无法作为您当前 Gartner 订阅的一部分提供。
零信任网络访问市场指南
安全服务边缘魔力象限
2022 年 SASE 融合战略路线图
实施零信任的实际项目有哪些?
新兴技术:零信任网络访问的采用增长洞察
成功的身份治理和管理部署指南
IAM 领导者身份治理和管理指南

© 2022 Gartner, Inc. 和/或其附属公司。 版权所有。 Gartner 是以下公司的注册商标
Gartner, Inc. 及其附属公司。 本出版物未经 Gartner 事先书面许可不得以任何形式复制或分发。 它包含 Gartner 研究的意见组织,不应将其视为事实陈述。 虽然其中包含的信息。本出版物是从据信可靠的来源获得的,Gartner 不承担所有保证此类信息的准确性、完整性或充分性。尽管 Gartner 研究可能解决法律和财务问题,Gartner 不提供法律或投资建议及其研究不应如此解释或使用。您对本出版物的访问和使用受Gartner 的使用政策。 Gartner 以其独立性和客观性的声誉而自豪。它是研究由其研究组织独立进行,不受任何人的投入或影响。欲了解更多信息,请参阅“独立性和客观性指导原则”。