如何实现零信任
实施零信任模式是一项挑战。每个 IT 部门都看到了提高安全性的好处,但零信任并不是一个现成的解决方案,而是一种方法。要将传统的基于边界的安全基础设施转变为NIST 800-207所定义的零信任架构 (ZTA),并非一朝一夕之功。必须分阶段实施。
实施的基石是清楚地了解每个用户对每个公司的资源应有哪些权限。如果没有这种初步认识,就无法有效部署零信任系统。然而,一旦奠定了基础,就可以通过进一步的探索和政策定义活动,在试用和全面启用系统之前,逐步推广零信任系统。
零信任实施步骤
1.清点库存
从盘点所有数据存储、应用程序、资产和服务开始。这可能是一个漫长的过程,但也能发现有助于零信任实施的现有机制。例如,可能存在有用的数据流策略和执行控制,如路由和防火墙功能。
2.绘制交易流程图
了解库存情况后,您需要绘制每个元素(用户、数据、网络和应用程序)的交互图,以便使用适当的控制措施保护这些资产。
3.定义零信任政策
在充分了解资源和事务流程后,制定相关政策,规定哪些用户可以访问哪些资源、可以使用哪些应用程序、何时何地可以访问以及身份验证方法(如 2FA 和 MFA)。
4.开始试验
选择一些低风险系统开始实施,利用现有网络协议增加更精细的控制。只在需要的系统之间提供访问权限。可将静态控制系统作为实验,逐步实施动态的零信任访问控制系统。
5.构建和添加
随着试验的成功,可以开始对集中管理的零信任系统进行评估。一旦了解了高效业务运营所需的流量,就可以设计和推出动态执行政策变更的系统,从而实现全面的零信任实施。
实施零信任的技巧
- 确保您清楚地了解组织可供用户使用的资源,以及哪些用户应有权访问哪些资源,包括每个用户所需的访问级别。
- 与上述内容相关的是,确保您知道自己想要保护什么。
- 分阶段引入零信任,最终目标是在所有系统中实施零信任--否则,预期的安全性就会受到影响。
- 确认您拥有强大的网络监控功能,可实时、历史和动态地全面了解用户和资源访问情况。
- 对员工进行适当培训,使其了解新的身份验证流程及其价值。
- 实施生物识别等自动验证,以方便用户的"零接触"方式实现 "零信任"。
零信任实施案例
- 多因素身份验证 (MFA) 可保护对数据源和应用程序的访问。
- 网络被分割成更小的微型区域,以保持独立访问。
- 对用户设备进行监控,以确保它们不被入侵,并应用最新的安全补丁,如果检查失败,则限制访问。
- 对用户的行为进行监控,如果用户偏离典型活动,则需要缩短重新认证的时间。
- 数据访问策略设计严密,并针对每个用户进行动态调整,以防止网络入侵者的横向移动。
- 对用户和资源活动进行持续监控,并将人工智能和 ML 应用于分析信息,以深入了解新出现的威胁。
每个安全团队都希望实现 "零信任"(Zero Trust)--在证明并不断证明自己的身份、访问权限和非恶意行为之前,任何人都不能获得或保留对任何东西的访问权限。这就是企业选择由Cylance®AI 支持的BlackBerry®零信任架构来保护人员、数据和网络的原因。
