導讀

很少有網(wǎng)絡(luò )安全概念能像零信任那樣席卷企業(yè)界。本文探討了邊緣計算如何幫助解決與實(shí)施零信任相關(guān)的一些最重大挑戰。

利用邊緣計算克服零信任挑戰

邊緣技術(shù)能使零信任安全更經(jīng)濟和現實(shí)可行的嗎?

很少有網(wǎng)絡(luò )安全概念能像零信任那樣席卷企業(yè)界。本文探討了邊緣計算如何幫助解決與實(shí)施零信任相關(guān)的一些最重大挑戰。

根據最近的數據顯示，97%的企業(yè)表示已經(jīng)開(kāi)始實(shí)施零信任倡議，到2027年，全球零信任產(chǎn)品的價(jià)值將達到約600億美元。很快，不接受零信任可能會(huì )導致競爭劣勢，因為潛在客戶(hù)可能只信任實(shí)施零信任戰略的企業(yè)。

但對于尚未實(shí)現零信任的企業(yè)而言，2023年是一個(gè)充滿(mǎn)挑戰的時(shí)期，需要做出雄心勃勃的改變。由于預算減少和人員可能減少，許多企業(yè)可能沒(méi)有準備好徹底改變其安全方式，特別是因為拙劣的零信任實(shí)施可能會(huì )打開(kāi)漏洞之門(mén)。

讓零信任安全變得經(jīng)濟且現實(shí)可行的一種方法是使用邊緣技術(shù)。通過(guò)將安全性部分或全部轉移到分布式架構上，可以大大簡(jiǎn)化保護組織的過(guò)程。

確保每個(gè)利益相關(guān)者擁有正確的權限

零信任安全的一個(gè)核心組成部分是“最低權限訪(fǎng)問(wèn)”——確保每個(gè)網(wǎng)絡(luò )用戶(hù)只能訪(fǎng)問(wèn)其所需要的內容。但是，考慮到需要定義權限的人數，為某人分配完全正確的權限可能既耗時(shí)又困難。

最低權限訪(fǎng)問(wèn)的兩個(gè)關(guān)鍵組成部分是特異性和時(shí)間，即有權訪(fǎng)問(wèn)的內容以及何時(shí)授予訪(fǎng)問(wèn)權限。擁抱邊緣對這兩方面都有幫助。由于邊緣基礎設施將網(wǎng)絡(luò )的組件從中心基礎設施分發(fā)出去，因此其促進(jìn)了微分段的過(guò)程。通過(guò)將網(wǎng)絡(luò )及其內容分割成離散的扇區，可以很容易地授予正確的權限。

然而，即使具有特定的權限和微分段，也需要能夠隨著(zhù)角色的變化快速進(jìn)行修改。為了獲得最佳安全性，這將需要一種實(shí)時(shí)管理和跟蹤權限的方法，許多邊緣解決方案現在都向其客戶(hù)提供這一功能。

管理復雜的安全基礎設施

如果當前的網(wǎng)絡(luò )基礎設施運行在大量中央服務(wù)器上，這可能會(huì )給物流管理和財務(wù)管理帶來(lái)負擔。在這種復雜性的基礎上實(shí)現零信任可能是壓倒性的。

邊緣計算可以幫助緩解這一挑戰。作為邊緣技術(shù)近期發(fā)展的一部分，專(zhuān)用的無(wú)服務(wù)器邊緣平臺已經(jīng)變得越來(lái)越普遍。這些平臺專(zhuān)注于邊緣構建，并將基礎設施維護留給專(zhuān)家組。

如果能夠將部分基礎設施從中央位置轉移到這些平臺之一，則可以降低需要管理的中央服務(wù)器的復雜性。在此基礎上，便可集中精力有效地實(shí)現零信任。

最大限度地減少破壞性和不安全的誤報和漏報

準確評估傳入請求是零信任的另一個(gè)關(guān)鍵組成部分。漏報（未能檢測到不良行為者）可能會(huì )導致違規，但誤報（錯誤地將合法行為者視為威脅）會(huì )使員工感到沮喪并損害生產(chǎn)力。Web應用程序防火墻(WAF)是任何零信任實(shí)施的重要組成部分，可阻止跨站點(diǎn)腳本等應用層威脅。將WAF放置在邊緣有助于快速攔截威脅，但并非所有WAF都是一樣的。

從歷史上看，基于特征的WAF最為常見(jiàn)?！疤卣鳌敝傅氖且坏┍蛔R別就存儲在WAF中的攻擊模式。然而，這使得WAF沒(méi)有準備好面對全新的威脅。一種新興的替代方案是基于評分的WAF，其動(dòng)態(tài)地對嘗試的請求進(jìn)行評分，以檢測可能的威脅，從而允許這些防火墻阻止以前從未見(jiàn)過(guò)的策略。由于基于評分的WAF還可以包含有助于響應已知威脅的預定規則，因此這種新型防火墻可以幫助避免誤報并快速適應新情況，使其成為避免誤報的理想選擇。

在不犧牲其他保護的情況下實(shí)施零信任安全

雖然零信任安全對于維持嚴格的現代安全標準至關(guān)重要，但并不能完全防范可能破壞企業(yè)運營(yíng)的各種攻擊，例如DDoS攻擊和機器人攻擊。

可以在WAF所在的邊緣實(shí)施針對DDoS攻擊和機器人攻擊的保護。保護措施盡可能遠離中央基礎設施，意味著(zhù)可以在威脅接近中央基礎設施之前將其阻止。此外，還可以定義要阻止的特定類(lèi)型的機器人，以確保不會(huì )阻礙搜索引擎爬蟲(chóng)和損害搜索引擎優(yōu)化。需要注意的是：由于DDoS攻擊可能發(fā)生在應用層和網(wǎng)絡(luò )層，因此找到一種覆蓋這兩個(gè)層的DDoS保護選項非常重要。

評估系統是否正常運行

即使完成了現代安全基礎設施的設置，也很難知道其是否有效運行。邊緣可以提供幫助，因為其是本地化的。從特定的邊緣位置獲取信息可以更容易地定位和解決該問(wèn)題和位置。

因此，如果能夠將邊緣數據傳輸到SIEM系統，就可以快速獲得組織基礎設施及其效能的俯視圖。隨著(zhù)時(shí)間的推移，這可以通過(guò)更高效的運營(yíng)節省資金。當然，僅僅了解這些信息只是成功的一半。另一半是尋找一個(gè)邊緣編排平臺，可以協(xié)調安全工作，并能夠實(shí)時(shí)響應危機。

避免被特定的安全策略或供應商鎖定

不出幾年，零信任可能會(huì )變得完全不同。然而，當與一個(gè)只擅長(cháng)零信任的供應商聯(lián)系在一起，如果需求發(fā)生變化，這并不意味著(zhù)該供應商也與之發(fā)展。如果該供應商依賴(lài)專(zhuān)有標準，這一點(diǎn)尤其緊迫，因為將系統轉移到另一個(gè)供應商將具有挑戰性。

為了避免受到特定提供商的支配，最好與許多公民、組織和企業(yè)使用的開(kāi)放標準保持一致。如果確實(shí)需要更換提供商，操作也變得容易一些。邊緣是一個(gè)開(kāi)放標準創(chuàng )新的站點(diǎn)，包括WebAssembly、HTTP3等，因此可以以一種根據需要移動(dòng)到其他地方的方式來(lái)構建功能。

毫無(wú)疑問(wèn)，采用零信任安全實(shí)踐可能是一個(gè)挑戰，尤其是在面臨快速完成流程的壓力時(shí)。但是，邊緣計算和網(wǎng)絡(luò )技術(shù)可以通過(guò)增強安全性、降低管理復雜性，并在規劃未來(lái)時(shí)保持選擇余地來(lái)提供幫助。雖然零信任趨勢在未來(lái)可能會(huì )發(fā)生變化，但邊緣計算很可能會(huì )繼續在零信任發(fā)展的過(guò)程中發(fā)揮作用。

*轉載自千家網(wǎng)