企业必须监控和衡量所有自有资产和相关资产的完整性和安全状况。在零信任模型中,没有任何设备或资产本质上是可信的,每个资源请求都应该触发安全态势评估。这包括持续监控有权访问环境的企业资产的状态,这些资产是属于企业还是其他实体,是否有权访问内部资源,以及根据从持续监控和报告中获得的洞察力快速修补,修复错误。回到前面基于会话授予访问权限的示例,可以检查设备状态以确保设备没有高严重性漏洞或缺少关键的安全修复程序和补丁。通过对自有资产和相关资产的完整性和安全状况的动态洞察和监控,可以围绕授予的访问级别(如果授予)制定策略和决策。所有的资源认证和授权都是动态的,在允许访问之前严格执行。正如前面示例中所讨论的,授予访问权限和信任是以动态和持续的方式完成的。这意味着这是一个扫描设备和资产的持续循环,使用信号获得更深入的洞察力,并在做出信任决策之前对其进行评估。这是一个持续的、动态的过程,一旦用户创建了一个对相关资源具有权限的帐户,它就不会停止。这是一个迭代过程,每个策略执行决策都涉及许多因素。企业需要尽可能多地收集有关资产、网络基础设施和通信现状的信息,并使用这些信息来改善其安全态势。技术环境面临无数威胁。组织必须保持持续的监控能力,以确保他们了解环境中发生的事情。零信任架构由前面讨论的NIST800-207中提到的三个核心部分组成:PE(策略引擎)PA(策略管理员)PEP(策略执行点)图1.零信任的几个核心部分这些核心使用收集到的信息从资产、网络基础设施和通信的当前状态来改进决策并确保避免有关访问的高风险决策。零信任是一段旅程许多公司常犯的一个错误是认为零信任是目的地并且可以在一夜之间实现。他们所做的就是购买正确的工具并对他们的环境实施零信任。这不是零信任应该有的样子。当然,工具可以帮助企业实现某些方面的零信任,让企业更接近零信任架构,但工具并不是万能的。与大多数IT和网络安全领域一样,零信任由人员、流程和技术组成。正如NSA(国家安全局)出版物《拥抱零信任安全模式》中所述,关键建议包括从成熟度的角度看待零信任,包括初始准备、基础、中级和高级成熟度。图2.零信任成熟度综上所述,第一步是准备。确定你的位置、差距在哪里,以及你的架构、实践和流程如何与上面的几个零信任原则保持一致,然后制定一个计划来解决这些问题,最重要的是,认识到这需要一些时间来实施.由克里斯休斯。ChrisHughes在IT/网络安全行业拥有近15年的经验,除了在私营部门提供咨询服务外,还曾在美国空军、美国海军和GSA(总务管理局)FedRAMP(联邦风险和授权管理项目)任职对于公务员。原文网址:https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html
