What is a Zero Trust Assessment?

零信任评估是组织对其现有流程在实施零信任安全方面的成熟程度进行的衡量。这项评估的重点是企业如何处理身份，可分为四个阶段：1) 分散身份；2) 统一身份访问管理；3) 自动提供的上下文访问；4) 自适应劳动力。

What is a Zero Trust eXtended (ZTX) ecosystem?

Zero Trust eXtended (ZTX) 是 Forrester 的一项开发成果，它将零信任安全扩展到公司的整个数字生态系统中，超越了单纯的网络分段，重点关注身份和数据。ZTX 生态系统包括企业成功实施零信任安全所需的整套服务和平台。

What are the 3 stages of the Zero Trust Security Model?

零信任安全模型的实施分为三个阶段：1) 可视化；2) 缓解；3) 优化。

什么是零信任安全？

零信任安全是一种网络安全框架，要求用户在访问组织的数字资产和网络之前，证明自己的身份、访问权限和行为没有恶意。

随着现代混合工作环境使传统的、基于企业内部网络的安全模式变得过时，零信任安全作为一种保护组织数据和人员的手段变得日益突出--尤其是在远程工作和基于云的服务成为常态的情况下。

Forrester 认为，零信任安全在默认情况下拒绝用户访问应用程序和数据。它假定不再存在传统的网络边缘，对用户身份验证采取更加严格、持续和动态的方法。因此，挑战在于确保零信任安全足够无缝，以避免影响用户体验。

零信托效益

基于零信任的网络安全解决方案提供了比传统系统更高的安全级别，带来了一系列好处。

降低业务风险

零信任系统可防止应用程序和服务之间的通信，直到完全验证为止，这一过程还可突出显示正在使用的内容和位置。这样就能更有效地监督业务资源的使用情况，降低恶意滥用的风险。

统一接入控制

将云和容器环境与传统资源一起置于统一的零信任安全框架下，意味着身份验证与需要保护的工作负载和资产相关联。因此，无论用户和业务资源位于何处，安全性都保持在同一高度。

减少违规行为

在通过身份验证之前，每个实体都被认为是敌对的，这可以防止获得网络内部访问权的攻击者获取数据并对其进行破坏。

合规支持

零信任将用户和工作负载屏蔽在互联网之外。由于不暴露，因此更容易证明符合隐私标准和法规。还可以创建额外的保护，将受监管数据与非受监管数据分开。

零信任架构

零信任架构（ZTA）是围绕零信任安全原则建立的，它使用一系列组件，旨在为终端用户提供强大的连续身份验证功能，并尽可能做到无缝连接。用户以持续但不显眼的方式接受强认证。与此同时，他们所使用的设备也会受到持续监控，以防泄露。通过用户身份验证和设备验证来控制基础设施的访问。对应用程序的访问是细粒度的，以用户需求为基础，并受到多种因素的保护。利用先进的网络安全人工智能进行安全分析，实时检测威胁，对系统进行全面监控。政策的自动调整最大限度地提高了方法的成本效益。符合NIST 800-207 标准表明，零信任架构坚持了零信任方法的核心原则。

零信任如何运作

零信任系统与传统安全系统的关键区别在于，默认情况下从不假定身份验证，而是拒绝身份验证。在传统安全系统中，一旦网络边界内的访问权限被授予，通常会永久或长期存在，无需刷新。相比之下，零信任系统会持续监控用户的行为，并验证他们及其设备是否拥有适当的权限和属性。根据用户和应用程序活动的实时可见性，将与用户、其设备和上下文相关的风险考虑在内。

零信任利用各种身份属性，在访问企业或云资产时保持最佳安全级别，包括

提供用户身份验证的凭证类型。
与凭证相关的权限。
情境，包括设备位置（在公司内部还是在公共场所）和用户行为。
持续的身份验证，可能包括多因素和背景生物识别。
设备健康状况，包括操作系统版本、补丁级别和固件更新。
端点上安装的应用程序，评估可能构成威胁的应用程序。
从用户、设备和环境中检测可疑活动。

零信任安全公司持续动态地监控这些属性，应用分析和人工智能/人工智能来提供积极主动的策略响应。大多数网络攻击都是针对凭证和身份存储的，因此这种动态威胁监控可确保更高的系统完整性。

零信任评估

零信任安全不是一种单一的产品或服务，而是一种由生态系统支持的方法。因此，零信任安全并不需要全面替换现有的安全基础设施。一个组织可能已经有了一些对实现零信任安全很有价值的组件。考虑到您还需要带领您的用户踏上这一旅程，保持熟悉的流程和实践将有助于顺利过渡。

对一个组织实施零信任的准备情况和所需步骤的评估，围绕着一个组织如何阐明身份，这可能是这四个阶段中的一个：

1.支离破碎的身份

现阶段的企业可能会依赖微软活动目录来管理网络周边安全系统的权限。然而，员工往往使用多个账户相同的弱密码，这意味着一个系统被入侵，就会导致访问另一个系统。随着外部资源（云、移动设备等）的使用大大增加，这一阶段面临的风险比以往任何时候都要大得多。

2.统一身份和访问管理

统一的身份和访问管理（IAM）系统是零信任安全的基础。它将所有用户整合到一个中央目录中，跟踪他们可以访问哪些企业资源。单点登录（SSO）使基于云的应用组合不再需要不同的登录。单点登录可让用户访问其有权使用的所有资源，这也更便于用户使用。IAM 还有助于部署多因素身份验证 (MFA)，以进一步加强安全性。

3.通过自动配置实现上下文访问

除了统一的 IAM 之外，还有一些系统的策略会跟踪用户的行为，例如用户从不同的地点登录，从而触发 MFA。同样，公共场所的设备在超过典型时限后仍未使用，也会触发 MFA。该系统还能实现自动配置和取消配置，允许系统管理员添加或限制权限，例如当员工离职或更换部门时。

4.适应性员工队伍

零信任不是一种静态的实施方法，而是一种动态的方法。随着免密码生物识别身份验证等新技术的出现，可以添加这些技术来提高安全性和效率。随着新威胁的出现和被检测到，可以应用人工智能和 ML 来发展政策。

如何实现零信任

一旦企业的安全或 IT 团队评估了其身份系统所处的阶段以及是否准备好实现 "零信任"，就可以开始实施该方法。

实施工作包括三大阶段：

1.可视化

一个组织可能对其在传统网络边界内提供的资源了如指掌。但 "零信任 "要求了解所有资源、其接入点以及相关风险。可用资源清单应包括员工在办公场所内外使用的所有服务。

2.缓解

一旦对所使用的全部资源进行了映射，下一步就是检测和阻止来自每个资源的相关威胁，或减轻漏洞的影响。缓解措施包括制定全面的政策。

3.优化

实施的最后阶段将保护范围扩大到 IT 基础设施的各个方面和每种资源，无论其位于何处，也无论访问这些资源的用户位于何处。这一阶段包括提升最终用户和管理团队的体验，使零信任安全尽可能无缝，尽可能接近零接触的理想状态。

实施零信任安全的挑战

实施零信任访问控制模式并不一定是一件简单的事情。

那些了解将要实现的巨大利益并决心实施零信任架构的组织可能会在实施过程中遇到一些挑战，包括

技术孤岛

传统操作系统和应用程序、开发工具和平台、第三方应用程序和服务，以及 "土生土长 "的应用程序和许多其他应用程序

缺乏技术整合

自有平台和第三方平台可能会出现障碍--这些集成方面的任何问题都很容易破坏零信任的实施。

快速变化的威胁面和威胁格局

这可能会给部署方式有限的技术带来挑战。

常见问题

什么是零信任安全？

零信任安全是一种网络安全系统，其默认模式是不信任用户及其设备等实体。定期重新认证可确保基础设施和应用程序访问具有更高水平的完整性，从而在混合工作环境中更好地防范网络威胁。

零信任安全为何重要？

随着远程和混合工作的兴起，以及内部和外部使用的移动设备的激增，我们访问应用程序、数据和服务的方式也发生了变化。业务应用程序的范围从传统的内部部署软件到容器化和云。零信任安全为这种不同的访问方式提供了解决方案。

什么是零信任评估？

零信任评估是组织对其现有流程在实施零信任安全方面的成熟程度进行的衡量。该评估侧重于组织如何处理身份，可分为四个阶段：

碎片化身份，每项服务使用不同的登录名
统一身份访问管理可实现所有资源的单点登录和多因素身份验证
自动提供的上下文访问，可根据上下文进行动态政策调整
适应性员工队伍，在新的安全技术出现时，组织随时准备将其整合进来。

什么是零信任扩展（ZTX）生态系统？

Zero Trust eXtended (ZTX) 是Forrester 的一项开发成果，它将零信任安全扩展到公司的整个数字生态系统--超越了单纯的网络分段，重点关注身份和数据。ZTX 生态系统包括企业成功实施零信任安全所需的整套服务和平台。

零信任安全模式的三个阶段是什么？

零信任安全模式的实施分为三个阶段：

可视化显示公司的资源、接入点和相关风险。
然后，缓解措施可检测和预防潜在威胁。
优化功能可将保护范围扩展至 IT 基础设施的方方面面，无论其位于内部还是外部，同时提供最佳的用户体验。

什么是零信任架构？

零信任架构是围绕零信任安全原则建立的，它使用了一系列组件，旨在为终端用户提供稳健、无缝的连续身份验证。用户以一种持续但不显眼的方式接受强有力的身份验证。与此同时，他们所使用的设备也会受到持续监控，以防被入侵。

BlackBerry 零信任的网络安全

零信任安全应该是每个安全团队的目标。该方法可应对现代混合工作的灵活性和挑战。评估和实施 "零信任 "需要一个专业的技术合作伙伴，这也是企业选择由Cylance^®AI 支持的BlackBerry ®"零信任 "架构来保护人员、数据和网络的原因。

了解更多

更多资源