IDC 分析师协作：面向商业的微分段Zero Trust 需要横向防御

尽管“零信任”这个词汇一度成为被过度使用的热门词汇，但许多组织已将其视为实施现代安全框架、降低风险的北极星。 微分段化在商业中的应用：零信任需要横向防御 2022年6月 提出问题者：阿卡迈作者：克里斯托弗·罗德里格斯，研究总监，安全和信任 零售商应该如何考虑成功部署零信任架构，为什么微分段应该被视为一个关键组件？ 尽管“零信任”名称上存在误解，但它是实现商业所需安全性的重要策略，这总体上提升了企业与其客户之间的信任。当IDC询问IT买家关于他们组织未来两年的技术优先事项以确保企业的长期弹性与成功时，85.9%的零售/批发行业受访者将“数字信任”评为优先或最高优先级的技术投资（IDC的）。未来企业弹性与支出调查，2021年6月，n=800。 零信任是一种安全框架——一组旨在应对新技术和现代威胁而设计的原则、控制和最佳实践，以实现安全现代化。因此，实施方式将因行业而异，因为安全用例取决于它们必须满足的用户类型。在商业环境中，重点是低摩擦的保护。考虑以下用例： »购物者有很高的期望。客户期望获得无缝且愉悦的用户体验。任何障碍，例如缓慢的页面加载或令人困惑的验证码挑战，都是失去客户的机会。 »员工有工作要做。安全是生活的一个公认事实，但理想情况下，它将尽可能地隐形。在最佳情况下，不便将仅仅是生产力的浪费。最坏的结果是，员工可能会寻找捷径或解决方案，这会增加业务风险。 总体而言，细分是构建保护企业及其利益相关者（包括客户、员工和合作伙伴）的安全边界的基石实践。但结果可能会有很大差异。成功的细分实践对用户来说是透明的。执行不当可能导致用户沮丧和应用程序损坏。 为什么软件定义的微分段是一种比传统防火墙和VLAN更有效的替代方案，以保护敏感的信用卡和客户个人信息（PII）——并使其远离网络犯罪分子的掌控？ 多年来，零售商需要按监管要求（例如PCI和GDPR）分割网络。通常在网络安全边界以及战略性网络区域（如数据中心出口/入口）部署防火墙，这可以在一定程度上提供网络段之间流动的流量的基本可见性。类似地，VLANs作为一个有用的控制点来进行逻辑分区。然而，由防火墙和VLAN提供的前景和掌控能力对于现代威胁格局而言过于粗粒化。 一个能够规避外围防御的网络安全犯罪分子将能够随意横向移动，以识别要窃取的数据或要破坏的系统。内部威胁、账户接管和社交工程都是可以使基于外围的安全措施失效的威胁示例。在这些情况下，深度的可见性和精细的控制是阻止威胁升级为灾难性规模的关键。勒索软件是特别的一种威胁，检测时间上的几分钟差异可能导致数百万美元的损失。 数字化转型时代需要比传统网络安全控制所能提供的更精细级别的控制。微分段解决方案采用的软件定义方法能够实现适应工作负载级别的网络安全所需的极高粒度。微分段解决方案利用人工智能和其他分析模型，帮助IT组织映射和理解哪些应用程序正在与其他应用程序、用户和设备进行通信。这种广泛和深入的可见性是理解商业环境中风险的临界第一步，并使企业能够在必要的应用特定级别实施政策和检测威胁。 为什么安全领导者应将微分段作为补充——且必要的——安全控制措施，除了可能已经实施的任何端点检测与响应（EDR）解决方案之外？ 当然，零售企业深知安全的重要性，并已投资于端点检测与响应（EDR）技术以保护数据免遭盗窃和勒索软件攻击。IDC的研究显示，72.1%的零售/批发企业将“安全”评为建立客户信任的整体首要战略（IDC's）。未来企业弹性与支出调查，2021年6月，n=800）。 建立安全并非易事。零售IT环境复杂，覆盖分支办公室、仓库、商店和店面，以及支持不断增长在线业务所需的主办公室和数据中心。在数字化转型时代，每个办公室无疑都托管着大量的设备，包括专门的零售系统和终端、用于安全和分析的物联网设备，如摄像头，员工的BYOD（自带设备），以及为顾客设备提供的访客访问。 IDC分析师连接：商业微分段：零信任需要横向防御 不幸的是，复杂性是安全的敌人。零售IT组织通常缺乏跟踪网络中所有不同设备、用例和用户所需的工具和时间，导致安全盲点和未被发现的安全漏洞。即使是最大型、拥有复杂安全实践的零售企业，如果缺乏适当的可见性，也可能遭到入侵。被认为由“空气间隙”（未连接到互联网）保护、被遗忘或由第三方拥有的系统，在过去的几年中已被证明特别容易受到攻击，因为它们通常不在传统网络安全工具提供的保护范围内。 投资于高级安全工具，包括EDR、XDR、SIEM和SOAR，当这些工具提供更多可见性时，其效果更为显著。端点安全与网络安全相结合代表了一种特别强大的安全策略。EDR提供了深入到进程级别的可见性，这对于检测威胁和评估风险至关重要。微分段化提供了只有通过网络视角才能实现的全面可见性。因此，尽管最小权限访问是微分段化的关键价值主张，但提供的广泛通信模式可见性和高保真遥测可以与EDR洞察力相结合，以减少检测时间——在面对勒索软件攻击时，这是一个特别重要的生存因素。 如何通过微分段实现容器化应用和/或多云环境的安全可扩展性，同时不减缓零售创新？ 随着COVID作为导火索，零售商正在加快将应用程序和工作负载迁移到云端的步伐，许多零售商通过Kubernetes部署微服务架构以最大化速度、提高运营效率以及优化DevOps友好的工作流程。云计算对零售组织尤其具有吸引力，因为它提供了按需可伸缩性，以适应与季节性趋势相关的流量激增。同样，基于使用量的定价也具有完美的商业意义，允许零售商随着业务的增长而增长他们的计算成本。 很不幸，云计算竞赛充满了以下复杂性和挑战： »工作负载现在存在于各种不同的位置，从本地的办公室和数据中心到多个公共云IaaS环境。 »IaaS环境可能包括可选的防火墙功能，但不同供应商之间的控制级别各异。 »工作负载可能是短暂的，或者可能根据开发者和他们的计划以及IT领导层采用的过程，在很短的通知或无通知的情况下迁移。 因此，IT组织面临着对工作负载应用一致保护或政策的挑战。基本的库存、监控和映射工作就像推着一块巨石上山一样，目标不断移动，复杂性持续增加。微服务架构越来越受欢迎，并伴随着对新容器化环境的日益采用以进行保护。这些新的云原生技术、计算环境和商业实践正在激发一个极为复杂的通信水平，防火墙无法控制甚至无法看到。 IDC分析师连接：商业微分段：零信任需要横向防御 鉴于当今工作负载和计算环境的复杂性，仅在利用微分段解决方案提供的动态、人工智能驱动的保护措施下，才可实现零信任实践。值得注意的是，在IDC的未来信任调查(2021年2月，样本量为500），当受访者被询问其组织在提高组织信任方面进行了哪些投资或计划进行哪些投资时，最主要的回答（44.3%）是“利用人工智能和数据分析提高网络安全流程。” 为什么对于零售商——或者任何组织来说——这都是重要的？在思考他们的安全性时采取一种“数据泄露之后”的心态。姿态，以及微分段化如何帮助阻止恶意软件的传播一旦攻击者越过前门？ 我们知道，高度激动的攻击者会找到一种方法来突破防御，尤其是在应对高级或国家行为者时。零信任原则是在经历了多年的恶意网络犯罪、间谍活动和由高级持续性威胁（APTs）发动的破坏活动之后发展起来的。传统的APT能够规避外围保护，在受害者的网络环境中逍遥法外，进行长期的数据窃取和监视活动。另一方面，勒索软件攻击是有意为之的嘈杂行为，它们迅速行动以最大化损害，并使用高压策略来勒索受害者。这两种威胁至今仍是一个问题，每年都会对不幸的受害者造成毁灭性的影响。检测时间可能意味着数百万美元的损失、知识产权的丧失、罚款和损失信任之间的差异。 微分段策略在零信任战略中扮演着基础性的角色，提供“东西向”保护，以补充现代化、多层次防御的安全架构中的零信任网络访问（ZTNA）。例如，虽然ZTNA在明确、受控的条件下提供对特定资源的访问，但微分段提供始终存在的保护，以防止内部威胁、被盗账户或零日漏洞攻击应用程序。这些解决方案与“最小权限访问”、“持续监控”和“假设已遭入侵”的姿态等关键零信任原则相得益彰。 零售环境的现实是极端复杂性和对大量设备和用户缺乏控制，所有这些问题都被对自动化、无摩擦安全性的需求所掩盖。通过广泛的可见性、强大的边界、自动化检测和横向威胁保护，微分段化满足了这些需求。 关于分析师 克里斯托弗·罗德里格斯，研究总监，安全和信任 Christopher Rodriguez 是 IDC 安全与信任研究实践中的研究总监，专注于设计用于保护关键企业应用和网络基础设施的产品。 来自赞助商的消息 关于Akamai细分市场 Akamai 分区（之前为 Guardicore Centra）有助于检测并阻止勒索软件的传播，以限制初始感染的范围——在它变成影响业务的事件之前。通过应用最小权限原则，微分段技术实现了对应用程序东西向数据流的细粒度保护和深度可见性，以阻止恶意行为者的横向移动——保护您最敏感的数据。 使用Akamai细分，零售商还可以： »更高效地满足合规性和认证要求（例如，PCI、GDPR等）。 在复杂的零售环境中实施并执行一致的安保政策 提供对微服务式架构的细分市场覆盖。 » 无需妥协安全，采纳和部署新的云服务 »了解更多关于Akamai零信任解决方案以阻止勒索软件传播的信息，请点击此处。在提升基础设施的同时，降低资本支出（CapEx）和运营支出（OpEx）以保障安全。 国际数据公司（IDC Research，Inc.）140 Kendrick Street Building B Needham, MA 02494, USA T 508.872.8200 F 508.935.4015 Twitter @IDCidc-insights-community.com www.idc.com 本出版物由IDC定制解决方案制作。此处提出的观点、分析和研究结果均基于IDC独立进行并公开发表的详细研究和分析，除非特别指出由特定供应商赞助。IDC定制解决方案将IDC内容以多种格式提供给各种公司进行分发。分发IDC内容的许可证并不代表对其分发者的认可或观点。 版权所有 2022 IDC。未经书面许可，严禁复制。