信息化觀察網(wǎng)

“零”信任就是“無”信任，作為代表著“缺乏”的概念，零信任可謂是無處不在了。試水零信任項目的公司遭遇了各種挑戰(zhàn)，卻忽視了零信任方法原本的目標(biāo)。零信任方法旨在以持續(xù)自適應(yīng)的顯式信任替換掉廣泛存在于用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)間的隱式信任，有效提升業(yè)務(wù)各環(huán)節(jié)的置信度。

零信任方法的主要目標(biāo)是從“信任，但驗證”，轉(zhuǎn)向“驗證，然后信任”。我們不應(yīng)隱式信任所有實體，而應(yīng)該持續(xù)評估上下文。零信任的次要目標(biāo)是假設(shè)業(yè)務(wù)環(huán)境隨時會遭破壞，并以此為前提逆向設(shè)計安全防護(hù)方案。通過消除隱式信任，通過基于身份、自適應(yīng)訪問和綜合分析持續(xù)評估用戶和設(shè)備置信度，零信任方法可以降低風(fēng)險并提高業(yè)務(wù)敏捷性。

各家公司實現(xiàn)零信任的旅程可能并不完全相同，但總的說來可分為以下五個關(guān)鍵階段。

階段1：禁止匿名訪問

分類好公司里各用戶角色和訪問級別，盤點清楚所有應(yīng)用，標(biāo)識出公司的全部數(shù)據(jù)資產(chǎn)，然后你就可以著手鞏固身份與訪問管理（包括角色和角色成員資格），推進(jìn)私有應(yīng)用發(fā)現(xiàn)，并維護(hù)獲批SaaS應(yīng)用與網(wǎng)站類別列表了。此外，還應(yīng)減少入侵者橫向移動的機(jī)會，并隱藏應(yīng)用，避免應(yīng)用遭到端口掃描、漏洞探測和特征提取。單點登錄（SSO）和多因素身份驗證（MFA）也應(yīng)作為強(qiáng)制性要求加以實施。

這一階段的具體工作包括：明確身份信源和與其他身份的潛在聯(lián)合，確定什么情況下要求強(qiáng)身份驗證，然后控制哪些用戶能訪問何種應(yīng)用和服務(wù)。此階段還需要構(gòu)建并維護(hù)數(shù)據(jù)庫，將用戶（員工和第三方）映射至各個應(yīng)用。公司還必須合理調(diào)整應(yīng)用訪問權(quán)限，刪除因角色變更、離職、合同終止等原因而不再需要的過時授權(quán)。另外，通過引導(dǎo)所有訪問流經(jīng)策略執(zhí)行點來消除直接連接也是必要的操作。

階段2：維護(hù)顯式信任模型

深入了解自家應(yīng)用和身份基礎(chǔ)設(shè)施后，你就可以進(jìn)入構(gòu)建自適應(yīng)訪問控制的階段了：評估來自應(yīng)用、用戶和數(shù)據(jù)的信號，實現(xiàn)自適應(yīng)策略為用戶調(diào)用遞升式身份驗證或發(fā)出警報。

在這一階段，公司需要明確如何確定設(shè)備是否在內(nèi)部進(jìn)行管理，并為訪問策略（阻止、只讀，或根據(jù)不同條件允許特定行為）添加上下文。在高風(fēng)險情況下（例如刪除所有遠(yuǎn)程訪問私有應(yīng)用的內(nèi)容）多采用強(qiáng)身份驗證，而在低風(fēng)險情況下（例如托管設(shè)備以只讀權(quán)限訪問本地應(yīng)用）減少強(qiáng)身份驗證的使用。公司還應(yīng)評估用戶風(fēng)險，并針對特定應(yīng)用類型確定用戶類別，同時持續(xù)調(diào)整策略，反映不斷變化的業(yè)務(wù)需求。為應(yīng)用活動中的授權(quán)建立信任基線也是公司在這一階段應(yīng)該完成的事項之一。

階段3：實施隔離，限制影響范圍

延續(xù)消除隱式信任的主旨，公司應(yīng)盡量減少對高風(fēng)險Web資源的直接訪問，尤其是在用戶同時還與托管應(yīng)用交互的時候。按需隔離指的是在高風(fēng)險情況下自動觸發(fā)的隔離，能夠限制被黑用戶和危險網(wǎng)站的影響范圍。

在這個階段，公司需在訪問有風(fēng)險網(wǎng)站或從非托管設(shè)備訪問時自動觸發(fā)遠(yuǎn)程瀏覽器隔離，并考慮將遠(yuǎn)程瀏覽器隔離作為CASB反向代理的替代方案，用于處理重寫URL時行為異常的SaaS應(yīng)用。同時，公司還應(yīng)監(jiān)視實時威脅和用戶儀表板，從而檢測出命令與控制（C2）嘗試和異常。

階段4：實現(xiàn)持續(xù)數(shù)據(jù)保護(hù)

接下來，我們必須獲悉敏感數(shù)據(jù)的存儲位置和傳播范圍，監(jiān)控敏感信息在獲批及未獲批應(yīng)用和網(wǎng)站上的動向。

公司應(yīng)確定從托管設(shè)備和非托管設(shè)備進(jìn)行數(shù)據(jù)訪問的總體差異，并添加自適應(yīng)策略具體細(xì)節(jié)，實現(xiàn)基于上下文的內(nèi)容訪問（例如完全訪問、敏感或機(jī)密）?？梢哉{(diào)用云安全態(tài)勢管理來持續(xù)評估公有云服務(wù)配置，從而保護(hù)數(shù)據(jù)并滿足合規(guī)要求。公司還可以考慮采用內(nèi)聯(lián)數(shù)據(jù)防泄露（DLP）規(guī)則和策略來實施數(shù)據(jù)保護(hù)和符合監(jiān)管規(guī)定，也可以定義靜態(tài)數(shù)據(jù)DLP規(guī)則和策略，尤其是云存儲對象文件共享權(quán)限和支持文件共享與移動的應(yīng)用到應(yīng)用集成。此外，除了全面采用和落實最小權(quán)限原則，公司還應(yīng)持續(xù)檢查和刪除過多的信任。

階段5：通過實時分析和可視化加以完善

通往零信任的最后一個階段是實時豐富并優(yōu)化策略。參考用戶趨勢、訪問異常、應(yīng)用變更和數(shù)據(jù)敏感度的變化，評估現(xiàn)有策略的效果是否適宜。

在此階段，公司應(yīng)維持對用戶應(yīng)用和服務(wù)以及相關(guān)風(fēng)險水平的可見性；也可以增強(qiáng)可見性并深入了解云和Web活動，實現(xiàn)對數(shù)據(jù)和威脅策略的持續(xù)監(jiān)測與調(diào)整。此外，公司還可以確定安全和風(fēng)險管理計劃的主要利益相關(guān)者（CISO/CIO、法務(wù)、CFO、SecOps等），并將數(shù)據(jù)進(jìn)行可視化處理，方便他們理解。創(chuàng)建可共享儀表板來查看不同組件的情況也是個不錯的辦法。

2020年和2021年的新冠肺炎疫情加速了數(shù)字化轉(zhuǎn)型，現(xiàn)代數(shù)字業(yè)務(wù)可不會等待IT部門的許可。同時，現(xiàn)代數(shù)字業(yè)務(wù)越來越依賴通過互聯(lián)網(wǎng)交付的應(yīng)用和數(shù)據(jù)，而互聯(lián)網(wǎng)這個東西，無論你意不意外，它在設(shè)計時壓根兒就沒考慮到安全性。很明顯，想要通過簡單有效的風(fēng)險管理控制來實現(xiàn)輕松便捷的用戶體驗，我們需要的是一種全新的方法。