过去,我们认为企业就像一座坚固的城市,被层层城墙(防火墙)、护城河(DMZ)和吊桥(门禁)保护着。在远程办公常态化带来的攻击面增大等诸多因素的影响下,零信任概念逐渐成为解决网络安全问题的重要推动力。iSMG最新发布的《2022年零信任策略报告》显示,绝大多数受访者表示零信任对于降低网络安全风险至关重要;近一半(46%)的受访者表示,零信任是2022年最重要的安全实践。此外,Forrester另一份针对300多家大型企业的调查报告也显示,78%的安全高管计划增加零信任的使用今年。虽然零信任是大多数网络安全团队的首选,但其实际实施情况并不乐观。在Forrester调查的企业中,能够全面部署零信任的企业比例仅为6%;另有30%的受访者表示,他们仅部分部署了对企业的零信任;而63%的受访者表示,其内部零信任项目仍处于评估、规划或试点阶段。2021年5月,美国政府在行政命令中要求政府机构采用零信任解决方案,以提高国家网络安全。此外,相继CISA在去年秋天发布了《零信任成熟度模型》,NIST发布了白皮书《零信任架构规划》,其中,《零信任架构规划》解释了如何使用网络安全框架(CSF)和NIST风险管理框架(RMF),SP800–37)帮助企业顺利迁移升级到零信任架构。下面总结了国外上述零信任架构的5个优秀实践,供读者了解和参考:1.知道哪些层需要保护。安全风险评估应该从攻击者的角度出发。例如,企业安全团队最关心的潜在攻击面是:安全边界在哪里?外人如何闯入?任何可能的闯入方法?NIST的《零信任架构规划》给出的建议是,安全保护的建立需要从数据和应用入手,首先分析价格和风险最高的数据信息和资产。因为保护面的范围和边界远小于攻击面。当零信任架构中没有需要保护的边界时,企业可以围绕资产设置“微边界”。通过微边界,企业用户可以充分了解和控制谁在什么地方、什么时候、通过什么方式进行了访问。因此,企业可以根据业务的重要程度来确定保护对象的重要性和优先级。首先确定最关键的应用程序,然后是次要的应用程序。层级下降,因此可以实现对所有应用程序的保护级别。2.提高可见性CISA在《零信任成熟度模型》中表示,当企业围绕身份、设备、网络、应用程序和数据等执行点实施零信任时,他们可以实现可见性,即全面了解所有资产如何连接到彼此是实施上述策略的基础。用户、设备和服务都需要连接到数据中心。在不了解该环境如何工作的情况下尝试实施零信任会使该环境复杂化,从而导致安全漏洞或工作流程中断。确保可见性后,企业可以清楚地了解应该采用什么样的可信执行策略。3、构建新边界:微分段NIST在《零信任架构》中表示,和传统的保护方式一样,零信任理念保证数据中心安全的前提是保证网络环境和周边环境的安全.但区别在于数据中心如何创建“微边界”(micro-boundary),而零信任要求只有通过审核标准的流量才能通过。因此,在构建零信任架构时,网段和边界将变得比传统模型更小。因此,微分段策略应脱离现有网络架构,并应具有灵活的扩展功能。此外,在部署零信任架构时,允许访问的列表应该基于策略,而不是IP地址。这是传统人工方法无法解决的繁重工作量。零信任网络访问解决方案使用机器学习(ML)或人工智能(AI)来了解流量模式和访问逻辑,以帮助企业创建自动化访问策略。4、做好身份管理无论企业选择部署何种框架或模式,身份都是零信任安全的基础,需要身份来源认证、基于角色的访问控制等关键组件。身份来源不仅必须包括用户的身份,还必须包括服务帐户、应用程序会话、临时身份和云资产。零信任要求在提供安全访问之前验证身份,这对于VPN等传统解决方案是不可能的。软件定义边界(SDP)或零信任架构超越验证IP地址,并在授予访问权限之前根据设备状态、位置、时间、角色和权限持续评估安全风险。此外,随着我??们数字足迹的大小和形状发生变化,我们不再拥有“数字网络”或“数字服务”。然而,我们现在拥有一个不断扩大的“数字生态系统”。假设企业希望在获得这些新渠道、效率或敏捷性的同时保持安全性,则需要零信任架构。零信任模型确保全面的审计跟踪,基于身份的零信任持续监控所有用户对系统中任何资源的每个访问请求,无论是本地还是云端。每当身份(人或机器)尝试访问资产时,都会根据其在会话期间的行为和其他上下文参数执行风险分析。更容易执行合规政策。5.减少攻击面最小化攻击面是减少风险暴露和安全事件的关键。在企业内部,零信任理念的微隔离方式,不仅提供了安全连接授权资源的便利,也保证了任何未经授权的资产都是不可见的、不可访问的。这减少了横向移动,进一步减少了内部威胁。此外,我们还可以在企业外部应用零信任的概念来防范外部网络威胁和攻击。例如,移动员工经常面临网络钓鱼攻击。我们只需要做几件事来减少像这样的攻击面:主动了解数字足迹(如上所述),监控通信渠道以获取攻击指标(最好与威胁情报结合),并快速响应已识别的威胁(包括修补)。参考链接:https://hackernoon.com/how-do-i-adopt-the-zero-trust-framework
