1.定义受信任用户和受信任设备
开始时,发现工作至关重要。大多数微分段和零信任技术都包含某种形式的扫描和发现工具,用于发现身份使用和权限分配、使用中的应用程序组件、系统间发送的流量、设备类型以及环境中的行为趋势和模式。
安全团队应与身份和访问管理(IAM)团队或负责关键 IT 运营功能的人员合作,了解环境中的不同群体和用户,以及他们执行工作职能所需的访问类型。对于特权用户使用的所有类型的用户设备,主要是笔记本电脑和台式机,也应采取同样的措施。
2.整合身份(用户/设备)和网络
在进行了一些基本发现之后,任何成熟的访问控制(微分段)策略引擎都应能够开始将检测到的和声明的身份(用户、组、设备和权限集)与系统中特定服务和应用组件产生的网络流量联系起来。
为了从零信任战略中获得最大收益,在规划和项目实施的这一阶段,需要仔细考虑以业务和应用为中心的用例。
安全团队应计划评估哪些类型的行为在环境中是实际需要和必要的,而哪些类型的行为可能只是被明确允许或 "不被拒绝"。
3.确定远程访问的适用范围
移动保护
4.审查零信任最佳做法
组织在实施零信任工具和控制时,应牢记以下一般最佳实践:
从被动应用发现开始,通常通过网络流量监控来实现。 需要几周的时间来发现其中的关系,并与了解正常流量模式和系统间通信的利益相关者进行协调。
根据数据在网络中的移动方式以及用户和应用程序访问敏感信息的方式,设计零信任架构(ZTA)。这将有助于确定网络应如何分段,以及应在何处设置保护和访问控制。
花时间对系统和应用程序进行分类。更先进的 "零信任 "工具集成了资产身份,资产身份可能是应用架构的一部分,与业务部门或集团相一致,或代表特定的系统类型。
尽可能寻找可在内部和公共云环境中运行的产品。这几乎总是需要基于代理的解决方案。
零信任架构应包括身份验证和授权控制、网络访问和检查控制,以及对网络和端点的监控/执行控制。
目前,没有任何一种技术能提供全面的零信任设计和实施--必须将各种工具和服务结合起来,才能提供所需的全面覆盖。
对大多数人来说,零信任和现有基础设施的混合方法需要共存一段时间,重点是可以适当实现这两种方法的通用组件和控制类别,如通过目录服务集成实现身份和访问管理、端点安全和策略执行,以及网络监控和流量检测。
随着 "零信任 "框架的成熟和发展,标准和平台互操作性也将不断提高,从而有可能促进整体方法的简化和有效。
