零信任以“持续验证,永不信任”的理念,彻底颠覆了传统的基于边界的安全防御模式,能够有效帮助企业解决数字化转型中的难题.现在越来越多的政府和企业正在使用零信任框架模型来实施网络安全措施。一时之间,各路英雄齐聚零信任竞技场,争相探寻破局之道。实现零信任的7条正确原则那么,如何实现零信任呢?中国企业网络在考虑建立零信任体系时的合理思考是什么?笔者认为,围绕以下原则开展相关建设工作是非常重要和必要的:长期规划而不是短期部署产品或解决方案:零信任是一个及时的安全概念,它既不是一个新的部分安全需求不会是全新的特定技术。它是企业信息安全发展到一定阶段,对新的安全需求和现有安全技术的质变再融合,对企业IT安全的新视角。提出的发展理念进一步决定了零信任体系的建设是一个有高层企业参与的宏观工程(当然在实施过程中需要拆解成不同的具体实施项目),而不是一个局部工程日常企业网络安全运维。虽然零信任系统本身是一个非常庞大的系统,不可能一蹴而就,但这并不意味着我们不需要有一个明确的最终目标,那么零信任系统到底能给企业网络一个什么样的最终目标呢?安全?为什么是合理的?仁者见仁智者见智。在这里,作者给出了“7Rightprinciples”的定义:在完全没有信任的前提下,实现Right(1)的人在Right(2)的时间和Right(3)的地点,用Right(4)的设备通过Right(5)的账户访问Right(6)的应用系统和操作Right(7)的数据。建立完整的零信任体系是企业的一项长期工程。从IT安全运维的角度来看,大致可以分为三个阶段:基础、融合、自适应。每个阶段都可以明确设置相应的子目标和任务。其实每个企业的网络安全都可以说是处于零信任体系的某个阶段(大部分企业处于基础阶段,少数企业已经触及融合阶段),有的企业做得很好在某些部分。例如,大部分银行业务网络已经实行最小权限管理原则,运营商内网成熟的4A认证管理体系等。零信任体系各阶段的主要任务总结如下:(1)基础阶段的任务是大多数企业网络安全运维面临的主要任务,如访问权限的定义、基于策略的管理等。(2)集成阶段在基础阶段(基础阶段一般在一个维度下管理)的前提下,引入生命周期管理、动态授权和需要关联多个维度的管理机制。(3)自适应阶段强调自动化,因此人工智能/机器学习的应用是该阶段的显着特征。同时,企业网络的全面组织和业务的深度融合是这一阶段的重要挑战。成功推进到这个阶段,意味着企业网络安全高峰期的到来,意味着7R原则在企业网络安全运维中的高效运行。最重要的是,零信任体系的建立必须是甲方全程牵头的长期工程。不能是安全厂商提供的交钥匙产品或解决方案,也不是甲方安全运维部门可以独立完成的项目。无论涉及的广度和与业务的密切程度,整个项目周期中有很多关键节点需要甲方决策层的深度参与,这决定了零信任体系的建设是一个甲方的“生产”业务。三方仅起到协助和支持的作用。当然,每个企业都应该根据自身当前和未来的需求,综合考虑自身的网络安全现状和能力,为零信任体系制定一个可以逐步实现的长期项目计划。零信任并不意味着从零开始,因为零信任扩展生态系统框架模型中有7个类别,提供了完整的安全方法:1)员工安全,2)设备安全,3)工作负载,4)网络,5)数据安全,6)可见性和分析,以及7)自动化和编排,但每个公司都已经具备一些零信任元素。例如,零信任安全中的一个关键值是身份验证。现在企业普遍存在身份认证,部分企业身份认证安全机制还不能完全满足身份认证零信任的要求,但这并不影响企业认证体系的完善。例如,企业缺乏多因素身份验证(MFA),但可以通过单独的凭证类别进行额外的实时身份验证,以证明数字用户的身份以进行登录或其他交易。多因素身份验证结合了两个或多个凭据,例如用户知道什么(密码)、用户拥有什么(安全令牌)或用户是谁(生物识别身份验证),因此企业不必使用全新的凭据。该认证系统取代现有的认证系统。不经意间,近两年肆虐全球的疫情取得了意想不到的强劲发展。在关闭/隔离期间,许多公司被迫进入远程工作模式。VPN故障迫使许多组织采用软件定义的边界和WAN,以及对服务边缘的安全访问。结果就是很多人在没有意识到零信任的概念的情况下,不由自主地走上了零信任的道路。因此,并不是每家公司在进入零信任时都是从零开始的。事实上,很多公司已经开始将零信任框架完成10%、25%,甚至开始更高,走得更远。在零信任网络安全的道路上,企业不需要重新购买所有新技术来达到零信任状态,而是可以结合已部署的技术和其他新方法来最大化安全效益。对于企业来说,零信任并不是什么新技术,可以根据自身情况判断自己在零信任安全道路上的定位。至于判断方法,则是企业需要深入调查、审计、全面监控自身的网络活动,找出短板,扬长避短,为数据资产和用户量身打造真正的零信任体系。.
