根据行业专家的说法,根据与首席信息安全官(CISO)和首席信息官(CIO)的合作经验,这并不像人们想象的那么容易。虽然实现基于零信任的安全需要专门的人员、广泛的利益相关者之间的共识以及适当的预算,但有效转向零信任模型的唯一方法是迭代地进行。为什么零信任之路如此艰难?业界谈零信任由来已久,但很多企业尚未落地。要记住的一件事是,零信任不是一种工具,而是一组用于强制执行最低权限访问的概念和想法。零信任模型为企业提供了全局策略,这使得它具有挑战性,因为企业的部门往往是分散的,不同的部门负责不同的网络安全控制。企业要实现零信任,唯一的办法就是有自上而下的支持和领导,然后需要在所有部门之间建立这种协作。组织必须让所有团队和利益相关者就某事达成一致。企业如何支持和管理零信任模型?零信任模型必须定位为支持业务,特别是检查自动化技术可以在哪些方面减少摩擦并实现更敏捷和高效的业务。如果企业目前不具备可用于自动化关键安全功能的技术能力,例如用户生命周期自动化、供应和其他安全功能,那么在实施零信任之前,它需要首先专注于构建这些基础能力。基础功能将改进零信任所需安全态势和威胁响应准备的实现。使用零信任,可以针对访问应用程序或数据的任何主体强制执行访问。为了实现真正的零信任,访问决策不仅需要基于主体的肯定标识,还需要基于其他上下文信息(例如,主体使用的端点的健康状况和发出请求的网络的健康状况).动态策略实施需要有关网络和端点的近乎实时的信息,以便为经过身份验证的用户做出访问决策,即使用户拥有适当的授权也是如此。此外,身份管理系统仍然需要提供粗粒度访问,这将为策略执行点提供授权信息。完全零信任方法需要在网络和端点进行风险评估,以及编排以添加策略执行点所需的其他场景。可以看出,零信任是如此全面和普遍,以至于企业可能会陷入分析瘫痪:那么从哪里开始呢?如何在给定的时间和预算内完成如此庞大的项目?行业专家看到的工作是通过迭代过程将其分解为阶段/步骤,并确定速赢领域。例如,企业在哪些方面还存在重大风险,如何将风险降到最低?解决方案包括分割最敏感的网络和实施身份访问管理,这需要逐步实施。当然,所有这些措施都必须对企业/用户透明。哪些行业或公司正在领先并取得进展,而其他行业或公司才刚刚起步?在这个过程中走在前面的公司通常是金融机构和政府授权的公司。金融公司拥有必须保护的敏感数据,并且(与其他垂直行业的企业相比)拥有更高水平的网络安全成熟度、资源和团队。许多其他行业组织可能仍专注于基础知识,而金融机构拥有带宽和资金来继续发展和改进其网络安全计划。根据美国去年发布的一项改善国家网络安全的行政命令,政府机构被勒令转向零信任模式。企业的每个部分现在都专注于如何转变他们对资产、身份以及这些用户和资产在其上运行的网络的明确信任。美国将最后期限定在2024年现实吗?如果在此截止日期之前实施,对关键基础设施的要求应该是什么?当谈到实施零信任的时间表和《运营指令》中规定的2024年机构截止日期时,最大的问题是:资金到位了吗?企业是否拥有成熟的安全计划、合适的技能(例如云计算、身份安全等)和合适的资源?哪些基础设施需要改变,供应链能否满足这些需求?在过去的几年里,供应链问题已经全面出现,无论是真实的还是可能的,都不容忽视。在真正的零信任架构中,多个基础设施将需要与策略执行点共享风险信息以允许执行实时动态访问策略,这将需要编排从每个相关基础设施层提取上下文信息。最终,这意味着必须制定标准来建立对风险评分的共同理解和解释,以便来自不同供应商的解决方案可以共享安全状况和与信任相关的信息,以通过策略执行点做出访问决策。这些分布式风险评估和编排能力将在未来几年内不断成熟和发展。
