身份是零信任的基本组成部分。以下是如何构建以身份为中心的零信任策略。现代企业正受到攻击。这就引出了一个问题,即您的业务何时而非是否会中断。网络安全围绕需要保护免受外部威胁的本机应用程序的日子已经一去不复返了。员工和承包商在您的网络或建筑物内访问他们需要的一切的日子已经结束。网络安全状况随着工作、远程和混合工作环境的持续数字化转型,以及不断发展的云优先基础设施,组织正在改变他们开展业务的方式;仅仅依靠网络边界已经不够了。组织(公共和私人)需要随时随地从任何设备、服务或应用程序提供访问以支持业务。作为回应,联邦政府为联邦机构制定了一项战略,为私营部门公司提供可操作的指导。该承诺提出了一种零信任架构(ZTA),要求政府机构满足特定的网络安全标准和目标,以加强政府对日益复杂和持续的威胁活动的防御。拜登政府关于改善国家网络安全的行政命令和行政备忘录进一步尝试改进应对网络威胁的最佳做法。显然,领导者需要比以往任何时候都更加警惕自己的防御措施,实施零信任战略是一个很好的起点。然而,凭借其令人信服的吸引力和灵丹妙药的定位,零信任的承诺和实践常常被误解。那么我们如何才能消除噪音并开始实现其价值呢?我们可以从设定期望开始。零信任解释正如美国国家标准与技术研究院(NIST)所定义的那样,“零信任是一种安全范例,它基于适应风险来优化组织的安全态势。”通过定义的审查过程获得。但零信任不仅改变了安全范式,它还在挑战商业文化。始终在线的访问现在必须通过足够及时的访问进行调节,以帮助减少内部威胁和黑客搜索特权帐户。“从不信任,始终验证”的架构更适合延迟甚至防止全面的数据泄露。如果没有强大的身份管理计划,这是不可能的。Gartner指出,“拥有强大的身份访问基础是成功的关键先决条件。”事实上,国家网络安全卓越中心更进一步,指出“增强的身份管理被认为是零信任架构的基础组成部分。”专家和分析师一致认为,身份是成功推出零信任的基础。原因如下:为什么身份很重要身份通过确保正确的员工和承包商能够访问正确的应用程序和系统来执行他们的工作,充当最佳工作流程和安全性之间的连接组织。薄弱的身份策略可能导致数据泄露、劳动密集型做法和可能需要数月才能执行的手动审计。这造成了组织无法置之不理的重大安全漏洞。身份治理允许了解员工和承包商在您的组织中应该拥有的访问权限。如果做得好,这可以快速、高效、一致和准确地大规模自动化安全访问。此外,基于云的身份治理解决方案可能更有益,通过无缝集成缩短实现价值的时间,并缩短员工的学习曲线。实施成功的身份治理计划的最有效方法之一是通过现有的IT服务管理(ITSM)系统。好消息是,47%的知识工作者已经转向ITSM来支持他们的一些身份项目。不幸的是,电子邮件(50%)和电子表格(32%)等手动、不安全且容易出错的方法是这里最大的竞争对手(梯度流)。最终,越来越多的组织将钱留在桌面上并增加风险。这是企业评估其当前技术堆栈并查看身份适合的位置的绝佳机会,让位给更具凝聚力的零信任计划。身份在将信任从网络扩展到用户、设备、服务和应用程序级别方面发挥着关键作用。与其将身份治理和安全性视为一个复选框,不如将其用作关键业务功能和实现零信任的工具。虽然零信任实施面临许多挑战——缺乏理解、不断变化的业务优先级和IT资源等等——但请务必记住,这是一场马拉松,而不是短跑。不需要也不建议进行全面的技术改造来启动您的零信任计划。了解您的ITSM平台中可用的功能,开始接管谁有权访问您组织内的内容以及管理方式,然后从那里开始。改变是艰难的,但根深蒂固的身份计划可以让您踏上零信任之旅。
