過去，我們認為企業(yè)如同一座被城墻(防火墻)、護城河(DMZ)和吊橋(訪問控制)層層防護起來的堅固城池，但隨著網絡攻擊手段的不斷升級、犯罪販子的日益猖獗、遠程辦公常態(tài)化所帶來的攻擊面增大等眾多因素的影響下，零信任理念已經逐漸成為解決網絡安全問題的重要推手。

網站建設公司,為您提供網站建設,網站制作,網頁設計及定制網站建設服務,專注于企業(yè)網站制作,高端網頁制作,對石雕等多個行業(yè)擁有豐富的網站建設經驗的網站建設公司。專業(yè)網站設計,網站優(yōu)化推廣哪家好,專業(yè)營銷推廣優(yōu)化,H5建站,響應式網站。

iSMG最近發(fā)布的《2022年零信任策略報告》顯示：絕大多數(shù)受訪者都表示零信任對于降低網絡安全風險至關重要;近一半(46%)的受訪者表示零信任是2022年最重要的安全實踐。

此外，F(xiàn)orrester的另一項面向300余家大型企業(yè)的調查報告也顯示：78%的安全高管均計劃在今年增加對零信任的使用力度。

盡管零信任是大多數(shù)網絡安全團隊的首選，但其實際落地卻不盡樂觀。在Forrester所調查的企業(yè)中，能夠全面部署零信任的企業(yè)所占比例僅為6%;另有30%的受訪者表示只是在企業(yè)局部部署了零信任;還有63%的受訪者表示，其企業(yè)內部對零信任項目現(xiàn)仍于評估、規(guī)劃或試點階段。

2021年5月，美國政府在改善國家網絡安全的行政令中要求政府機構要采用零信任方案，政令發(fā)布后，美國行政管理和預算辦公室(英文簡稱：OMB)隨即發(fā)布了如何推進零信任架構落地的戰(zhàn)略方案，此外，接二連三，CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書《零信任架構規(guī)劃》，其中，《零信任架構規(guī)劃》闡述了如何利用網絡安全框架(CSF)和NIST風險管理框架(RMF，SP800–37)來助力企業(yè)順利遷移升級為零信任架構。

以下是上述國外應對零信任架構實際落地的五個優(yōu)秀實踐總結，供讀者了解、參考：

1. 明了需要保護哪些層面

安全風險評估應從攻擊者角度出發(fā)。例如，企業(yè)安全團隊最常關注的潛在攻擊面有：

• 安全邊界在哪？
• 外部人員將會如何闖入？
• 有什么潛在的方法可以闖入？

NIST的《零信任架構規(guī)劃》給出的建議是，建立安全防護需要先從數(shù)據(jù)和應用程序出發(fā)，應先分析價最高、風險最大的數(shù)據(jù)信息和資產。因為保護面比攻擊面的范圍和邊界要小得多。

當在零信任架構中，找不到任何需要保護的邊界時，企業(yè)可以在資產周圍設置“微邊界”，通過微邊界，企業(yè)用戶可以全面的了解和控制，何人在何地、何時，通過何種手段進行了訪問。

因此，企業(yè)可以根據(jù)業(yè)務的重要等級，來確定受保護對象的重要性和優(yōu)先級。先確定最關鍵的應用程序，然后再確定次重要的。層層遞減，如此便可實現(xiàn)對所有應用程序的等級保護。

2. 提高可見性

CISA在《零信任成熟度模型》中表示，企業(yè)在圍繞身份、設備、網絡、應用程序和數(shù)據(jù)等執(zhí)行點實施零信任時，實現(xiàn)可見性，即全面的了解一切資產如何相互連接是執(zhí)行上述策略的基礎。

用戶、設備和服務都需要連接到數(shù)據(jù)中心。如果企業(yè)不了解該環(huán)境的運作方式，就試圖強制執(zhí)行零信任，則會使該環(huán)境變得更復雜，從而導致安全缺口或工作流程中斷。在保證了可見性之后，企業(yè)就可以清晰的了解到應采取怎樣的可信執(zhí)行策略。

3. 構建新邊界：微隔離

NIST在《零信任架構》中表示，與傳統(tǒng)防護手段相同，零信任理念保證數(shù)據(jù)中心安全的前提也是確保網絡環(huán)境和周邊環(huán)境安全。但差別在于如何在數(shù)據(jù)中心創(chuàng)建“微邊界”(micro-boundary)，零信任要求只有通過審核標準的流量才能通過。

因此在構建零信任架構時，網段和邊界相比傳統(tǒng)模式會變得更小。因此，微隔離策略應與現(xiàn)有的網絡架構相脫離，并要具被靈活的擴展功能。

此外，在部署零信任架構時，允許訪問的列表要基于策略，而不是基于IP地址。這項工作十分繁重，傳統(tǒng)通過人工的方式無法解決，而零信任網絡訪問解決方案則使用機器學習(ML) 或人工智能(AI)來了解流量模式和訪問邏輯，以幫助企業(yè)創(chuàng)建自動訪問策略。

4. 做好身份管理

無論企業(yè)選擇部署哪種框架或模型，身份都是零信任安全的基礎，都需要身份來源認證和基于角色的訪問控制等關鍵組件。身份來源不僅要包含用戶的身份，還要包括服務帳戶、應用程序會話、暫時身份和云資產。

零信任要求在提供安全訪問之前先驗證身份，這對于VPN等傳統(tǒng)解決方案是不可能實現(xiàn)的。軟件定義邊界(Software-Defined Perimeter，簡稱“SDP”)或零信任架構不僅僅驗證IP地址，還在授予訪問權限之前，根據(jù)設備狀態(tài)、位置、時間、角色和權限來持續(xù)評估安全風險。

此外，隨著數(shù)字足跡的大小和形狀發(fā)生變化，我們不再擁有“數(shù)字網絡”或“數(shù)字服務”。不過，我們現(xiàn)在擁有不斷擴展的“數(shù)字生態(tài)系統(tǒng)”。假設企業(yè)在獲得這些新渠道、效率或敏捷性的同時希望保持安全，那就需要采用零信任架構。

零信任模型可確保全面的審計跟蹤，基于身份的零信任會持續(xù)監(jiān)控所有用戶對系統(tǒng)中任何資源的每個訪問請求，無論在本地還是在云端。每當身份(人或機器)試圖訪問資產時，都會根據(jù)其在會話期間的行為及其他上下文參數(shù)執(zhí)行風險分析。更加便于合規(guī)策略的執(zhí)行。

5. 縮小攻擊面

盡力縮小攻擊面是減少風險暴露、降低安全事件發(fā)生的關鍵。

在企業(yè)內部，零信任理念的微隔離方法在提供了安全連接授權資源的便利的同時，也確保了任何身份未經授權的資產都是不可見、不可訪問的。這減少了橫向移動，進一步降低了內部威脅。

此外，我們也可以在企業(yè)外部運用零信任理念，以防范外部網絡威脅和攻擊。比如，移動辦公的員工經常面臨網絡釣魚攻擊。要減少諸如此類的攻擊面，我們只需做好這幾項工作：主動了解數(shù)字足跡(如上所述)、監(jiān)控通訊渠道以尋找攻擊指標(最好結合威脅情報)，以及迅速應對已識別的威脅(包括打補丁)。

參考鏈接：https://hackernoon.com/how-do-i-adopt-the-zero-trust-framework

分享文章：零信任安全架構應如何落地？
網站路徑：http://uogjgqi.cn/article/dpdcpig.html