零信任方法的主要目标是从“信任,但验证”,转向“验证,然后信任”。我们不应隐式信任所有实体,而应该持续评估上下文。零信任的次要目标是假设业务环境随时会遭破坏,并以此为前提逆向设计安全防护方案。通过消除隐式信任,通过基于身份、自适应访问和综合分析持续评估用户和设备置信度,零信任方法可以降低风险并提高业务敏捷性。
各家公司实现零信任的旅程可能并不完全相同,但总的说来可分为以下五个关键阶段。
阶段1:禁止匿名访问
分类好公司里各用户角色和访问级别,盘点清楚所有应用,标识出公司的全部数据资产,然后你就可以着手巩固身份与访问管理(包括角色和角色成员资格),推进私有应用发现,并维护获批SaaS应用与网站类别列表了。此外,还应减少入侵者横向移动的机会,并隐藏应用,避免应用遭到端口扫描、漏洞探测和特征提取。单点登录(SSO)和多因素身份验证(MFA)也应作为强制性要求加以实施。
这一阶段的具体工作包括:明确身份信源和与其他身份的潜在联合,确定什么情况下要求强身份验证,然后控制哪些用户能访问何种应用和服务。此阶段还需要构建并维护数据库,将用户(员工和第三方)映射至各个应用。公司还必须合理调整应用访问权限,删除因角色变更、离职、合同终止等原因而不再需要的过时授权。另外,通过引导所有访问流经策略执行点来消除直接连接也是必要的操作。
阶段2:维护显式信任模型
深入了解自家应用和身份基础设施后,你就可以进入构建自适应访问控制的阶段了:评估来自应用、用户和数据的信号,实现自适应策略为用户调用递升式身份验证或发出警报。
在这一阶段,公司需要明确如何确定设备是否在内部进行管理,并为访问策略(阻止、只读,或根据不同条件允许特定行为)添加上下文。在高风险情况下(例如删除所有远程访问私有应用的内容)多采用强身份验证,而在低风险情况下(例如托管设备以只读权限访问本地应用)减少强身份验证的使用。公司还应评估用户风险,并针对特定应用类型确定用户类别,同时持续调整策略,反映不断变化的业务需求。为应用活动中的授权建立信任基线也是公司在这一阶段应该完成的事项之一。
阶段3:实施隔离,限制影响范围
延续消除隐式信任的主旨,公司应尽量减少对高风险Web资源的直接访问,尤其是在用户同时还与托管应用交互的时候。按需隔离指的是在高风险情况下自动触发的隔离,能够限制被黑用户和危险网站的影响范围。
在这个阶段,公司需在访问有风险网站或从非托管设备访问时自动触发远程浏览器隔离,并考虑将远程浏览器隔离作为CASB反向代理的替代方案,用于处理重写URL时行为异常的SaaS应用。同时,公司还应监视实时威胁和用户仪表板,从而检测出命令与控制(C2)尝试和异常。
阶段4:实现持续数据保护
接下来,我们必须获悉敏感数据的存储位置和传播范围,监控敏感信息在获批及未获批应用和网站上的动向。
公司应确定从托管设备和非托管设备进行数据访问的总体差异,并添加自适应策略具体细节,实现基于上下文的内容访问(例如完全访问、敏感或机密)。可以调用云安全态势管理来持续评估公有云服务配置,从而保护数据并满足合规要求。公司还可以考虑采用内联数据防泄露(DLP)规则和策略来实施数据保护和符合监管规定,也可以定义静态数据DLP规则和策略,尤其是云存储对象文件共享权限和支持文件共享与移动的应用到应用集成。此外,除了全面采用和落实最小权限原则,公司还应持续检查和删除过多的信任。
阶段5:通过实时分析和可视化加以完善
通往零信任的最后一个阶段是实时丰富并优化策略。参考用户趋势、访问异常、应用变更和数据敏感度的变化,评估现有策略的效果是否适宜。
在此阶段,公司应维持对用户应用和服务以及相关风险水平的可见性;也可以增强可见性并深入了解云和Web活动,实现对数据和威胁策略的持续监测与调整。此外,公司还可以确定安全和风险管理计划的主要利益相关者(CISO/CIO、法务、CFO、SecOps等),并将数据进行可视化处理,方便他们理解。创建可共享仪表板来查看不同组件的情况也是个不错的办法。
2020年和2021年的新冠肺炎疫情加速了数字化转型,现代数字业务可不会等待IT部门的许可。同时,现代数字业务越来越依赖通过互联网交付的应用和数据,而互联网这个东西,无论你意不意外,它在设计时压根儿就没考虑到安全性。很明显,想要通过简单有效的风险管理控制来实现轻松便捷的用户体验,我们需要的是一种全新的方法。