如何利用邊緣計算克服零信任挑戰(zhàn)

責(zé)任編輯:cres

作者:HERO編譯

2023-07-31 14:51:57

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

如今,很少有哪個網(wǎng)絡(luò)安全概念能像“零信任”這樣席卷企業(yè)界。邊緣計算平臺解決方案供應(yīng)商Azion公司的首席信息安全官對邊緣計算如何幫助克服與實現(xiàn)零信任相關(guān)的一些重大挑戰(zhàn)進(jìn)行了闡述。

 邊緣計算技術(shù)能使零信任安全在財務(wù)上更加可行嗎?
 
根據(jù)調(diào)研機(jī)構(gòu)最近進(jìn)行的研究,97%的受訪企業(yè)表示已經(jīng)開始實施零信任倡議,到2027年,全球零信任產(chǎn)品的市場價值將達(dá)到約600億美元。很快,不接受零信任的企業(yè)可能會面臨競爭劣勢,因為潛在客戶可能只信任實施零信任戰(zhàn)略的企業(yè)。
 
對于那些尚未接受零信任的企業(yè)來說,2023年是一個充滿挑戰(zhàn)的時期,需要做出一些改變。由于預(yù)算減少和人員可能減少,許多企業(yè)可能沒有準(zhǔn)備好徹底改變他們的安全方式,尤其是因為糟糕的零信任實施可能會為漏洞打開大門。
 
零信任安全在財務(wù)上可行的一種方法是使用邊緣計算技術(shù)。通過將安全性部分或全部轉(zhuǎn)移到分布式架構(gòu)上,企業(yè)可以顯著簡化保護(hù)業(yè)務(wù)的過程。
 
確保每個利益相關(guān)者的正確權(quán)限
 
零信任安全的一個核心組成部分是“最低特權(quán)訪問”,可以確保每個網(wǎng)絡(luò)用戶只能訪問他們所需要的內(nèi)容。但不幸的是,考慮到需要定義權(quán)限人員的數(shù)量,為某人分配完全正確的權(quán)限可能既耗時又困難。
 
最小特權(quán)訪問的兩個關(guān)鍵組成部分是特異性和時間——一個人可以訪問什么,以及何時授予訪問權(quán)。采用邊緣計算對兩者都有幫助。由于邊緣計算基礎(chǔ)設(shè)施將網(wǎng)絡(luò)的組件從中心基礎(chǔ)設(shè)施分發(fā)出去,因此它促進(jìn)了微分段的過程。通過將網(wǎng)絡(luò)及其內(nèi)容劃分為離散的扇區(qū),可以很容易地授予正確的權(quán)限。
 
然而,即使具有特定的權(quán)限和微分段,也需要能夠在角色變化時快速進(jìn)行修改。為了獲得最佳的安全性,這將需要一種實時管理和跟蹤權(quán)限的方法,這是許多邊緣計算解決方案現(xiàn)在為其客戶提供的一種功能。
 
管理復(fù)雜的安全基礎(chǔ)設(shè)施
 
如果企業(yè)當(dāng)前的網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行在大量的中央服務(wù)器上,這可能會給物流管理和財務(wù)管理帶來更多的負(fù)擔(dān)。在這種復(fù)雜性之上實現(xiàn)零信任可能會讓人不知所措。
 
邊緣計算可以幫助緩解這一挑戰(zhàn)。作為邊緣技術(shù)最近發(fā)展的一部分,專用的無服務(wù)器邊緣平臺已經(jīng)變得越來越普遍。這些平臺使企業(yè)能夠?qū)W⒂跇?gòu)建邊緣計算設(shè)施,而讓專家維護(hù)基礎(chǔ)設(shè)施。
 
如果企業(yè)能夠?qū)⒁恍┗A(chǔ)設(shè)施從中心位置轉(zhuǎn)移到這些平臺之一,則可以降低仍然需要管理的中心服務(wù)器的復(fù)雜性。在此基礎(chǔ)上,企業(yè)可以集中精力有效地實現(xiàn)零信任。
 
盡量減少破壞性和不安全的誤報
 
準(zhǔn)確評估傳入請求是零信任的另一個關(guān)鍵組成部分。假陰性(未能檢測到不良行為者)可能會導(dǎo)致違規(guī)行為,但假陽性(錯誤地將合法行為者屏蔽為威脅)會讓員工感到沮喪,并損害生產(chǎn)力。Web應(yīng)用程序防火墻(WAF)是實現(xiàn)零信任的重要組成部分,可以阻止跨站點腳本等應(yīng)用程序?qū)油{。將WAF置于邊緣有助于快速攔截威脅,但并非所有WAF都是一樣的。
 
從歷史上看,基于簽名的WAF是最常見的——“簽名”指的是一旦識別出攻擊模式就存儲在WAF內(nèi)的攻擊模式。然而,這使得WAF沒有準(zhǔn)備好應(yīng)對全新的威脅。一個新興的替代方案是基于評分的WAF,它動態(tài)地對嘗試的請求進(jìn)行評分,以檢測可能的威脅,能夠使這些防火墻停止它們以前從未見過的策略。由于基于評分的WAF還可以包含有助于響應(yīng)已知威脅的預(yù)定規(guī)則,因此這種新型防火墻可以幫助避免誤報并快速適應(yīng)新情況,因此非常適合避免誤報。
 
在不犧牲其他保護(hù)的情況下實現(xiàn)零信任安全
 
雖然零信任安全對于維持嚴(yán)格的現(xiàn)代安全標(biāo)準(zhǔn)至關(guān)重要,但它并不是針對可能破壞企業(yè)運(yùn)營的每種攻擊的全面保護(hù)——例如,他們還可能面臨DDoS攻擊和機(jī)器人攻擊。
 
企業(yè)可以在WAF所在的邊緣實現(xiàn)針對DDoS攻擊和機(jī)器人攻擊的保護(hù)。在遠(yuǎn)離中央基礎(chǔ)設(shè)施的地方設(shè)置保護(hù)措施意味著可以在威脅靠近中央基礎(chǔ)設(shè)施之前阻止它們。此外,企業(yè)可以定義特定類型的機(jī)器人攻擊,以確保不會阻礙搜索引擎爬蟲和損害搜索引擎優(yōu)化。需要注意的是:由于DDoS攻擊可以發(fā)生在應(yīng)用程序?qū)雍途W(wǎng)絡(luò)層,因此找到一個覆蓋這兩個層的DDoS保護(hù)選項非常重要。
 
評估系統(tǒng)是否正常運(yùn)行
 
即使已經(jīng)完成了現(xiàn)代安全基礎(chǔ)設(shè)施的設(shè)置,也很難知道它是否有效地運(yùn)行。邊緣可以在這里提供幫助,因為它是本地化的。從特定的邊緣位置獲取信息可以更容易地針對和解決該問題。
 
因此,如果企業(yè)能夠?qū)⑦吘墧?shù)據(jù)匯集到SIEM系統(tǒng)中,就可以快速獲得企業(yè)基礎(chǔ)設(shè)施及其效率的鳥瞰圖。隨著時間的推移,這可以通過更有效的操作為企業(yè)節(jié)省資金。當(dāng)然,知道這些信息只是成功的一半。另一半是找到一個邊緣協(xié)調(diào)平臺,它可以協(xié)調(diào)企業(yè)的安全工作,并使企業(yè)能夠?qū)崟r響應(yīng)危機(jī)。
 
避免被特定的安全策略或供應(yīng)商鎖定
 
在幾年內(nèi),零信任可能會完全不同。然而,企業(yè)可能與一家只擅長零信任的供應(yīng)商聯(lián)系在一起,如果企業(yè)的需求發(fā)生變化,這并不意味著供應(yīng)商將會與企業(yè)一起發(fā)展。如果該供應(yīng)商依賴于專有標(biāo)準(zhǔn),這一點尤其緊迫,因為企業(yè)將其系統(tǒng)轉(zhuǎn)移到另一個供應(yīng)商將具有挑戰(zhàn)性。
 
為了避免受特定提供商的支配,最好與許多公民、組織和公司使用的開放標(biāo)準(zhǔn)保持一致。如果企業(yè)確實需要更換供應(yīng)商,這將使企業(yè)盡可能輕松地完成此操作。邊緣是一個開放標(biāo)準(zhǔn)創(chuàng)新的站點,包括WebAssembly、HTTP3和許多其他標(biāo)準(zhǔn),因此企業(yè)能夠以一種仍然可以根據(jù)需要移動到其他地方的方式構(gòu)建其功能。
 
毫無疑問,采用零信任安全實踐可能是一個挑戰(zhàn),特別是在面臨快速完成流程的壓力時。但是,邊緣計算和網(wǎng)絡(luò)技術(shù)可以通過增強(qiáng)安全性,降低管理復(fù)雜性,并幫助企業(yè)在規(guī)劃未來時保持選擇的開放性來提供幫助。雖然零信任趨勢在未來可能會發(fā)生變化,但邊緣計算很可能會繼續(xù)在零信任發(fā)展的過程中發(fā)揮重要的作用。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號