正文
为什么大多数的企业没有实施IoT细粒度访问策略?
是因为缺乏可见性吗?然而,84%的企业表示,他们对物联网传感器等非托管设备有足够的可见性,可以确定网络访问权限。
实际上,问题的症结可能在于实现的复杂性。在大型企业中,设备类型太多导致无法完全分类,企业不可能花费大量的时间来定制IoT访问权限,这太复杂了,对他们来说,构建粗略的访问策略更为简单粗暴。
IT领导层态度是成功的关键。
IT领导层的态度是成功创建零信任IoT的关键,领导的大力支持也意味着将会有一个正式的零信任网络计划、有专门用于实施的组织,有良好的预算等等。
相比之下,采取临时零信任方法的企业,他们缺乏专用预算,只有在时间和资源允许的情况下才应用零信任原则,他们更有可能将所有物联网设备视为不可信设备,只允许他们访问低风险的网络资产。
其他成功关键因素
为了支持细粒度IoT策略,企业需要灵活的零信任访问和分段解决方案,这些解决方案能够对物联网进行分类,还能监控设备的行为,并支持自定义访问策略。
EMA的研究发现,一些因素在创建策略时非常重要:
-
IoT设备的安全状态是最重要的变量,在授予访问权限之前,零信任网络要检查防病毒和反恶意软件的状态。
-
设备漏洞和风险、设备所有者(例如,业务部门)、观察到的网络行为以及操作系统状态都是IoT零信任访问策略的次要变量。
-
设备品牌和型号、相关的应用程序是策略设计中最不重要的参数,仅少数组织会使用。
-
包含设备漏洞检测和风险评估的策略往往会更成功。
-
网络基础架构团队和信息安全团队之间的协作,可以帮助制定这些IoT访问策略。
如今,已有75%的企业正在支持企业网络上的IoT连接,这个数字将继续增加,设备也将变得更加多样化,访问要求随之也会有所不同,未来,根据每个IoT设备的用途和需求定制的细粒度IoT访问策略会更加重要,也将被越来越多的企业采用。
原文链接:
https://www.networkcomputing.com/network-security/zero-trust-access-policies-iot-must-be-granular
责任编辑:环球塔莎
