信息化觀察網(wǎng)

虛假情報(bào)數(shù)量增加，企業(yè)安全運(yùn)營疲勞；

遠(yuǎn)程辦公常態(tài)化，殘存安全邊界徹底消失；

數(shù)字化轉(zhuǎn)型導(dǎo)致攻擊面不斷增長(zhǎng)；

數(shù)據(jù)泄露規(guī)模不斷增長(zhǎng)，違規(guī)成本提升；

年輕黑客不講武德，傳統(tǒng)安全方案直呼“大E了，沒有閃”。

毫無疑問，以上這些因素都在推動(dòng)零信任成為當(dāng)下最火爆的企業(yè)網(wǎng)絡(luò)細(xì)分市場(chǎng)之一。

隨著公有云服務(wù)的廣泛采用和移動(dòng)工作者規(guī)模的增長(zhǎng)，基于邊界的安全模型已經(jīng)過時(shí)。組織的應(yīng)用程序和數(shù)據(jù)可能同時(shí)存在于傳統(tǒng)防火墻內(nèi)部和外部，而邊界控件幾乎無法阻止攻擊者獲得初始訪問權(quán)限后在網(wǎng)絡(luò)上橫向活動(dòng)，此時(shí)安全和IT團(tuán)隊(duì)需要的是向“無邊界”安全的轉(zhuǎn)變，這就是零信任。

當(dāng)企業(yè)園區(qū)網(wǎng)絡(luò)轉(zhuǎn)移到分布式遠(yuǎn)程辦公模型，并面對(duì)物聯(lián)網(wǎng)、5G等新的不斷擴(kuò)大的威脅矢量時(shí)，企業(yè)必須迅速采用“從不信任、始終驗(yàn)證”的零信任安全思想，以限制攻擊并防止其橫向移動(dòng)。然而盡管企業(yè)對(duì)零信任頗為關(guān)注，將其視為網(wǎng)絡(luò)安全策略的必要組成部分，但仍缺乏廣泛采用的辦法，實(shí)現(xiàn)零信任模型可能需要企業(yè)數(shù)年的努力，并調(diào)動(dòng)企業(yè)各個(gè)方面進(jìn)行協(xié)作。

實(shí)現(xiàn)零信任安全性的十條建議

千里之行，始于足下。如果你決心部署零信任模型，或者僅僅在考慮階段，可以參考以下十條建議，即便“條條大道通零信任”，這些普適建議仍然能幫您聚焦重點(diǎn)問題，少走彎路和邪路。

建議1：圍繞身份進(jìn)行重新調(diào)整

身份是零信任的最佳起點(diǎn)。用戶可以擁有多個(gè)設(shè)備，并從各種網(wǎng)絡(luò)和應(yīng)用訪問企業(yè)資源，而身份就是所有訪問請(qǐng)求的共同特性。無論該請(qǐng)求是來自公共Wi-Fi網(wǎng)絡(luò)上的個(gè)人設(shè)備還是來自網(wǎng)絡(luò)邊界內(nèi)的企業(yè)設(shè)備，使用身份作為控制平面可以讓公司在全面審查用戶、設(shè)備和其他因素之前將每個(gè)訪問請(qǐng)求都視為不受信任的請(qǐng)求。

目前很多組織使用微分段作為實(shí)現(xiàn)零信任的辦法，它可用于減少攻擊面和防護(hù)本地和傳統(tǒng)應(yīng)用程序環(huán)境中的漏洞。然而，云環(huán)境中，企業(yè)資產(chǎn)之間的網(wǎng)絡(luò)通常不由IT擁有或管理，該方法將會(huì)大打折扣?？鐚I(yè)孤島的團(tuán)隊(duì)?wèi)?yīng)圍繞基于身份的保護(hù)進(jìn)行協(xié)調(diào)，在資產(chǎn)與其潛在威脅之間創(chuàng)建完善的訪問網(wǎng)關(guān)，為零信任模型奠定基礎(chǔ)。

建議2：實(shí)施條件訪問控制

黑客往往是在入侵身份憑據(jù)后，使用憑據(jù)訪問系統(tǒng)并在網(wǎng)絡(luò)中橫向活動(dòng)。因此，憑據(jù)的可信度不能僅從特定用戶或其設(shè)備位于公司網(wǎng)絡(luò)內(nèi)部還是外部來推斷。這要求我們?cè)谶M(jìn)行徹底審查之前，應(yīng)采用“假設(shè)有漏洞”的理念，不要信任任何請(qǐng)求。對(duì)于零信任而言，訪問控制決策應(yīng)該是動(dòng)態(tài)的，并基于對(duì)每次跨多維度資源請(qǐng)求的相關(guān)風(fēng)險(xiǎn)評(píng)估和背景理解有條件地授予，這種針對(duì)用戶和設(shè)備的合適條件確定訪問權(quán)限的條件訪問方法，綜合考慮了用戶身份和訪問權(quán)限、設(shè)備運(yùn)行狀況、應(yīng)用程序和網(wǎng)絡(luò)安全以及所訪問數(shù)據(jù)的敏感度，可防止黑客使用被盜憑據(jù)在網(wǎng)絡(luò)中橫向活動(dòng)。

建議3：增加憑據(jù)強(qiáng)度

弱密碼會(huì)削弱身份系統(tǒng)的安全性，黑客可以輕松通過諸如密碼噴射或憑據(jù)填充攻擊等方式破壞你的網(wǎng)絡(luò)。而多重身份驗(yàn)證可以針對(duì)關(guān)鍵應(yīng)用和數(shù)據(jù)的訪問提供額外的用戶驗(yàn)證層，將其納入條件訪問限制有助于實(shí)現(xiàn)更穩(wěn)妥的用戶驗(yàn)證，并限制黑客濫用被盜憑據(jù)的能力。

建議4：規(guī)劃雙邊界戰(zhàn)略

為了防止業(yè)務(wù)中斷和重新引入舊風(fēng)險(xiǎn)，應(yīng)在維持現(xiàn)有基于網(wǎng)絡(luò)的保護(hù)的同時(shí)，向環(huán)境中添加新的基于身份的控件。在零信任環(huán)境中，必須將應(yīng)用程序視為云應(yīng)用程序或傳統(tǒng)程序。其中云原生應(yīng)用程序可以支持基于身份的控件，并允許條件訪問規(guī)則相對(duì)輕松地進(jìn)行疊加。

另一類別包括傳統(tǒng)環(huán)境中設(shè)計(jì)為位于網(wǎng)絡(luò)防火墻之后的應(yīng)用程序。這些應(yīng)用程序需要通過現(xiàn)代化才能支持基于身份的條件訪問。若要大規(guī)模實(shí)現(xiàn)現(xiàn)代化，需要通過安全的身份驗(yàn)證網(wǎng)關(guān)或應(yīng)用程序代理啟用訪問，省去VPN連接步驟，進(jìn)而降低風(fēng)險(xiǎn)。

建議5：集成情報(bào)和行為分析

支持云應(yīng)用程序中基于身份的訪問控制并不是加速云遷移的唯一原因。云還能夠生成更豐富的遙測(cè)數(shù)據(jù)，以實(shí)現(xiàn)更明智的訪問控制決策。例如，這種遙測(cè)數(shù)據(jù)可以更輕松地推斷異常用戶或?qū)嶓w行為來識(shí)別威脅，從而增強(qiáng)條件訪問控制。

做出明智訪問控制決策的能力取決于你集成到這些決策中的信號(hào)質(zhì)量、數(shù)量和多樣性。例如，集成威脅情報(bào)源（如僵尸程序或惡意軟件的IP地址）將迫使攻擊者不斷獲取新資源；集成有關(guān)登錄的詳細(xì)信息（時(shí)間、位置等）并查看其是否與該用戶的日常行為相符，將使攻擊者更難模仿用戶行為，同時(shí)最大限度地減少用戶不便。

建議6：減少攻擊面

為了增強(qiáng)身份基礎(chǔ)結(jié)構(gòu)的安全性，必須確保將攻擊面降至最低，企業(yè)可以實(shí)施特權(quán)身份管理最大程度地降低入侵帳戶以管理員或其他特權(quán)角色進(jìn)行使用的可能性；也可以使用不支持條件訪問或多重身份驗(yàn)證的舊式身份驗(yàn)證協(xié)議阻止應(yīng)用。此外，還可以限制身份驗(yàn)證訪問入口點(diǎn)，控制用戶訪問應(yīng)用和資源的方式。

建議7：提高安全意識(shí)

你的身份和終結(jié)點(diǎn)基礎(chǔ)結(jié)構(gòu)可以生成大量安全事件和警報(bào)，甚至是一些可以活動(dòng)和模式。這些可疑的活動(dòng)和模式可指示潛在網(wǎng)絡(luò)入侵和事件，如憑據(jù)泄露、IP地址錯(cuò)誤以及來自受感染設(shè)備的訪問。企業(yè)可以使用安全信息和事件管理(SIEM) 系統(tǒng)聚合和關(guān)聯(lián)數(shù)據(jù)，以更好地檢測(cè)可疑活動(dòng)和模式。

SIEM系統(tǒng)可用于審核用戶活動(dòng)、記錄法規(guī)要求的合規(guī)情況并幫助進(jìn)行取證分析。它還可以改進(jìn)對(duì)最小特權(quán)訪問的監(jiān)控，并確保用戶只能訪問他們真正需要的資源。

建議8：實(shí)施最終用戶自助功能

與許多其他安全計(jì)劃相比，用戶對(duì)零信任的抵觸可能要小得多。零信任使安全組織能夠接納現(xiàn)代生產(chǎn)力場(chǎng)景（如移動(dòng)設(shè)備、BYOD和SaaS應(yīng)用程序）并確保其安全，同時(shí)在不損害安全性的前提下維持用戶的滿意度。

IT團(tuán)隊(duì)可以通過授權(quán)用戶執(zhí)行某些安全任務(wù)（如：自助式密碼重置）來減少摩擦，允許用戶在無管理員參與的情況下重置或解鎖賬戶密碼，同時(shí)監(jiān)控濫用或誤用情況，既可以確保安全性又能提高工作效率。同樣，也可以實(shí)施自助群組管理，允許所有者創(chuàng)建和管理群組。

建議9：不要過度承諾

零信任并非是像實(shí)施多重身份驗(yàn)證那樣的單一“大爆炸式”舉措。實(shí)際上，它是一種長(zhǎng)期策略的最終階段，其新一代安全控件的構(gòu)建完全不同于傳統(tǒng)的基于網(wǎng)絡(luò)的訪問模型。這一愿景需要在很長(zhǎng)一段時(shí)間內(nèi)通過陸續(xù)實(shí)施一系列小項(xiàng)目來實(shí)現(xiàn)。

在此過程中，適當(dāng)制定和管理預(yù)期目標(biāo)非常重要。在項(xiàng)目生命周期中，應(yīng)尋求關(guān)鍵利益相關(guān)者的支持并制定與他們進(jìn)行有效溝通的計(jì)劃。應(yīng)做好準(zhǔn)備，采取措施克服習(xí)慣于以迥異方式行事的群體帶來的文化抵觸和其他挑戰(zhàn)。

建議10：全程展現(xiàn)價(jià)值

為零信任舉措構(gòu)建長(zhǎng)期支持的最有效方式之一，是在每一項(xiàng)投資中都展現(xiàn)出增值價(jià)值。在IDG的安全調(diào)查中，超過一半的受訪者 (51%) 表示零信任訪問模型將有助于提高保護(hù)客戶數(shù)據(jù)的能力，46%的受訪者則表示它將有助于實(shí)現(xiàn)更卓越、更安全的最終用戶體驗(yàn)。

集成到?jīng)Q策中的信號(hào)質(zhì)量、數(shù)量和多樣性決定了你做出明智訪問控制決策的能力。例如，集成威脅情報(bào)源（如僵尸程序或惡意軟件的IP地址）將迫使攻擊者不斷獲取新資源；集成有關(guān)登錄的詳細(xì)信息（時(shí)間、位置等）并查看其是否與該用戶的日常行為相符，將使攻擊者更難模仿用戶行為，同時(shí)最大限度地減少用戶不便。

擁抱零信任理念，重構(gòu)安全體系架構(gòu)

雖然零信任模型并不容易實(shí)現(xiàn)，但它卻是數(shù)字企業(yè)長(zhǎng)期現(xiàn)代化目標(biāo)的關(guān)鍵要素。人們無法預(yù)測(cè)哪一天會(huì)出現(xiàn)哪些新的漏洞，或者攻擊者會(huì)以何種方式進(jìn)入自己的環(huán)境。所以絕對(duì)不能假定自己使用的任何特定用戶或設(shè)備、應(yīng)用或網(wǎng)絡(luò)絕對(duì)安全，確保安全性的唯一合理方法是不信任任何人并驗(yàn)證一切。