近年来,越来越多的企业准备采用零信任架构来实现更好的安全防护。对于许多企业来说,零信任的建设需要全面改变架构、流程和安全意识,这不是一蹴而就的改变,而是一个循序渐进的过程。
那么,企业应该如何建立高效、安全的零信任体系呢?以下梳理了开展零信任建设时需要做好的16项准备工作。
1.识别数据资产
公司应考虑的第一步是了解企业目前的数据资产,特别是非结构化数据,以提高数据安全性。只有充分掌握了数据资产情况,并了解数据的类型及存储位置,才可以对如何保护数据做出明智的决定,从而打造高效的零信任环境。如果你不知道自己拥有什么数据或存储在哪里,有效保护数据将无从谈起。
2.培养零信任企业文化
如果使用零信任安全以后,企业员工的安全意识却没有同步提升,这项技术的应用效果将难以充分发挥。将企业的安全防护与员工安全意识实现挂钩,对于提高零信任应用效率至关重要。公司必须注重培养一种倡导透明、信任和开放沟通的企业文化,辅以持续培训和相应技术手段,才可以有效提升员工的安全意识,全面防御所有攻击面。
3.改造现有的权限访问
零信任建设早期的一种常见方式就是评估企业目前的安全状况,并让所有员工开始使用最低权限访问。此外,企业要能够对数据进出访问进行控制,并拥有必要的安全工具,比如安全信息和事件管理系统,用于取证分析研究。
4.评估权限策略
由于零信任需要为用户提供执行工作所需的最低权限,因此其有效实施的基础是对权限进行合理评估,这包括了解现有权限、微调现有权限以满足公司的目标,以及制定访问管理策略。一旦掌握了这些信息,就可以开始选择相应的实现技术。
5.合理规划建设预期
大多数供应商都声称可提供完整的零信任安全解决方案,但事实上没有哪款产品能做到。零信任是一种理念,企业需要明确验证身份、位置、设备运行状况、服务及/或工作负载,旨在出现违规行为时尽量减小影响、划分访问范围。成功的零信任安全项目大都从身份管理、多因子身份验证和最低权限访问等角度入手,逐步建设完善。
6.确保访问设备的可用性
准备建设零信任的企业需确定哪些已有访问控制设备仍可用、哪些不可用,这样才可以在零信任建设时明确定义访问方法,建立强壮的验证机制,并有效保护允许访问零信任环境的端点。
7.提前考虑用户体验
安全和用户体验常常相冲突,但是不一定非得这样。在敲定零信任安全流程、制定策略和明确需求之前,考虑用户活动范围变化和体验。推出零信任新模式后,要考虑如何传达体验方面的优势(比如无密码单点登录),而不是一味关注安全方面的优势。
8.全面了解攻击面
对攻击面的了解是保证零信任持续保护用户、网络和应用程序的前提。首先,企业要列出一份最新的内外应用程序清单和软件材料清单,然后利用这些信息制定一项持续且自动化的应用程序计划。
9.及时了解业务需求
有效实施零信任模式需从业务需求入手。询问要保护什么资产、为何保护,来确定哪些方面采用零信任技术能更有效提高安全能力,这最终将支持企业的零信任战略。
10.梳理当前的访问权限
企业建立零信任策略的第一步是,了解员工和服务账户权限的现状。深入审查企业的所有访问权限有助于查明哪里的潜在威胁最大,以便在零信任建设时考虑如何应对。
11.选择合适的零信任框架
一套定义明确的零信任框架是实现高效零信任的关键要素,这样安全团队可以地轻松将正确的安全控制融入到软件开发流程中,并确保其可以融入到统一的安全管理平台中,云原生环境下尤为如此。在建设过程中,安全团队不应该再需要重新定义零信任,而是应对使用哪些软件控制机制、要遵守哪些约定等了然于胸。
12.将加密与细粒度访问控制相结合
网络分段和访问控制在零信任应用中都是很常见的。通过端到端加密和访问控制的结合,可以更好地实现零信任数据安全。
13.确保不影响生产
零信任建设需要能帮助企业提高生产力而不是妨碍生产。当网络安全保护机制影响了员工工作时,就需要企业及时调整策略,在信任员工的同时,赋予员工可以访问完成工作所需的应用程序和数据的适当权限。
14.了解应用系统的风险
与边界防护的传统策略相比,在构建零信任时企业需明确系统风险概况,并针对具体的应用程序来调整安全方法。基于边界的策略假设任何获准穿越防护都可以访问里面的资源。然而,零信任是确保即使有权在企业内部访问,企业内的每个访问点仍另有安全核查机制。
15.掌握访问网络的所有设备
掌握访问网络的每个设备是建立零信任环境的最大挑战之一。组织面临的最大风险之一是连接到网络的个人(设备),因为他们通常是网络钓鱼攻击或社会工程攻击的主要目标。零信任环境下疏忽任一个设备,都可能导致安全漏洞被利用。
16.持续关注零信任技术的发展
迁移到零信任需要慎重规划,尽早定义需要保护的关键资产和基础设施很重要。现有系统和零信任环境需要时间磨合才能共存,且对于大多数企业来说,不会是一次性升级。目前零信任技术仍在快速成长,持续了解零信任技术和解决方案的发展对于长期保护投资很重要。
参考链接:https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792