循序漸進!開展零信任建設時應做好的16項準備
責編:gltian |2022-04-29 16:28:57近年來,越來越多的企業準備采用零信任架構來實現更好的安全防護。對于許多企業來說,零信任的建設需要全面改變架構、流程和安全意識,這不是一蹴而就的改變,而是一個循序漸進的過程。
那么,企業應該如何建立高效、安全的零信任體系呢?以下梳理了開展零信任建設時需要做好的16項準備工作。
1. 識別數據資產
公司應考慮的第一步是了解企業目前的數據資產,特別是非結構化數據,以提高數據安全性。只有充分掌握了數據資產情況,并了解數據的類型及存儲位置,才可以對如何保護數據做出明智的決定,從而打造高效的零信任環境。如果你不知道自己擁有什么數據或存儲在哪里,有效保護數據將無從談起。
2. 培養零信任企業文化
如果使用零信任安全以后,企業員工的安全意識卻沒有同步提升,這項技術的應用效果將難以充分發揮。將企業的安全防護與員工安全意識實現掛鉤,對于提高零信任應用效率至關重要。公司必須注重培養一種倡導透明、信任和開放溝通的企業文化,輔以持續培訓和相應技術手段,才可以有效提升員工的安全意識,全面防御所有攻擊面。
3. 改造現有的權限訪問
零信任建設早期的一種常見方式就是評估企業目前的安全狀況,并讓所有員工開始使用最低權限訪問。此外,企業要能夠對數據進出訪問進行控制,并擁有必要的安全工具,比如安全信息和事件管理系統,用于取證分析研究。
4. 評估權限策略
由于零信任需要為用戶提供執行工作所需的最低權限,因此其有效實施的基礎是對權限進行合理評估,這包括了解現有權限、微調現有權限以滿足公司的目標,以及制定訪問管理策略。一旦掌握了這些信息,就可以開始選擇相應的實現技術。
5.合理規劃建設預期
大多數供應商都聲稱可提供完整的零信任安全解決方案,但事實上沒有哪款產品能做到。零信任是一種理念,企業需要明確驗證身份、位置、設備運行狀況、服務及/或工作負載,旨在出現違規行為時盡量減小影響、劃分訪問范圍。成功的零信任安全項目大都從身份管理、多因子身份驗證和最低權限訪問等角度入手,逐步建設完善。
6. 確保訪問設備的可用性
準備建設零信任的企業需確定哪些已有訪問控制設備仍可用、哪些不可用,這樣才可以在零信任建設時明確定義訪問方法,建立強壯的驗證機制,并有效保護允許訪問零信任環境的端點。
7.提前考慮用戶體驗
安全和用戶體驗常常相沖突,但是不一定非得這樣。在敲定零信任安全流程、制定策略和明確需求之前,考慮用戶活動范圍變化和體驗。推出零信任新模式后,要考慮如何傳達體驗方面的優勢(比如無密碼單點登錄),而不是一味關注安全方面的優勢。
8.全面了解攻擊面
對攻擊面的了解是保證零信任持續保護用戶、網絡和應用程序的前提。首先,企業要列出一份最新的內外應用程序清單和軟件材料清單,然后利用這些信息制定一項持續且自動化的應用程序計劃。
9. 及時了解業務需求
有效實施零信任模式需從業務需求入手。詢問要保護什么資產、為何保護,來確定哪些方面采用零信任技術能更有效提高安全能力,這最終將支持企業的零信任戰略。
10. 梳理當前的訪問權限
企業建立零信任策略的第一步是,了解員工和服務賬戶權限的現狀。深入審查企業的所有訪問權限有助于查明哪里的潛在威脅最大,以便在零信任建設時考慮如何應對。
11.選擇合適的零信任框架
一套定義明確的零信任框架是實現高效零信任的關鍵要素,這樣安全團隊可以地輕松將正確的安全控制融入到軟件開發流程中,并確保其可以融入到統一的安全管理平臺中,云原生環境下尤為如此。在建設過程中,安全團隊不應該再需要重新定義零信任,而是應對使用哪些軟件控制機制、要遵守哪些約定等了然于胸。
12.將加密與細粒度訪問控制相結合
網絡分段和訪問控制在零信任應用中都是很常見的。通過端到端加密和訪問控制的結合,可以更好地實現零信任數據安全。
13. 確保不影響生產
零信任建設需要能幫助企業提高生產力而不是妨礙生產。當網絡安全保護機制影響了員工工作時,就需要企業及時調整策略,在信任員工的同時,賦予員工可以訪問完成工作所需的應用程序和數據的適當權限。
14.了解應用系統的風險
與邊界防護的傳統策略相比,在構建零信任時企業需明確系統風險概況,并針對具體的應用程序來調整安全方法。基于邊界的策略假設任何獲準穿越防護都可以訪問里面的資源。然而,零信任是確保即使有權在企業內部訪問,企業內的每個訪問點仍另有安全核查機制。
15. 掌握訪問網絡的所有設備
掌握訪問網絡的每個設備是建立零信任環境的最大挑戰之一。組織面臨的最大風險之一是連接到網絡的個人(設備),因為他們通常是網絡釣魚攻擊或社會工程攻擊的主要目標。零信任環境下疏忽任一個設備,都可能導致安全漏洞被利用。
16.持續關注零信任技術的發展
遷移到零信任需要慎重規劃,盡早定義需要保護的關鍵資產和基礎設施很重要。現有系統和零信任環境需要時間磨合才能共存,且對于大多數企業來說,不會是一次性升級。目前零信任技術仍在快速成長,持續了解零信任技術和解決方案的發展對于長期保護投資很重要。
參考鏈接: