通常,企业和机构对零信任的最大误解是必须全面部署,只有系统中的所有内容都集成才能实现收益,但事实并非如此。阻碍企业实施零信任模型的主要障碍是“技术债务”(指为了快速部署技术系统而做出的临时妥协)。在实施零信任之前,IT环境中有太多的“技术债务”需要解决。在他们看来,这种安全方法只能应用于新环境或安全的“绿地”环境——即便如此,组织也不愿这样做,因为他们认为安全可能会阻碍业务敏捷性。企业对接受零信任犹豫不决的真正原因是缺乏对流程的理解以及对上述错误观念的误导。Forrester的零信任框架明确概述了提供全面零信任战略的七大支柱:数据人员工作负载设备网络自动化和编排可见性和分析太多,感觉被“水太深”淹没了——这是典型的“沸腾的海洋”问题(指任务量太大,可能完成不了)。但是,如果公司转向更加渐进和敏捷的方法,并在沿途的每个阶段实现收益,会怎样呢?这种方法不仅可以定期和可衡量地改善安全态势,还有助于集成更多功能。实施零信任以下是一个简单、可重复的六步过程,可以帮助组织采用零信任安全模型。1.确定安全优先级在追求长期目标的过程中寻求短期胜利时,组织应该关注最能从采用零信任安全模型中获益的单个应用程序或应用程序组。从关键决策者那里了解贵组织的关键应用程序将有助于展示投资回报(ROI)。公司还需要了解这是一个学习过程,因此零信任安全模型需要适应他们的方法,因为他们对他们试图保护的内容了解得更多。采用零信任意味着重新定位通常的访问模式,这可能需要培养和教育利益相关者。但是,该过程的一部分是理解这些依赖关系并在程序中迎合它们。一旦公司确定了他们想要保护的内容,他们就可以继续决定首先关注哪个零信任支柱。2.选择您最初的零信任支柱试图解决Forrester零信任模型中的每个支柱似乎雄心勃勃,但往往是不现实的。企业的总体目标是实现快速且可衡量的业务增长,因此选择解决多个领域可能会适得其反。正如组织在这个阶段应该采取非常集中的方法来确定要保护哪些应用程序一样,他们在确定如何处理零信任本身时也应该采取类似的方法。实际上有一些工具可供组织使用,例如Forrester的零信任模型评估工具,它旨在帮助确定组织在采用零信任方面的差距。这些工具告诉用户要关注哪些支柱,例如缩小工作负载保护和不必要的可访问性方面的差距。3.制定具体的控制措施下一阶段是指定要实现的确切控制措施。一旦在步骤2中确定了主要问题,企业就可以寻找正确的安全控制措施以进入零信任流程的下一阶段。因此,如果评估显示对应用程序工作负载的过度网络访问,建议使用微分段来保护工作负载并防止其暴露于与横向移动相关的安全风险中。4.确定您需要的数据对于零信任流程的下一阶段,组织必须首先确定有效实施控制所需的信息。他们需要数据和可见性来制定可交付成果的具体政策。重要的是,零信任的有效实施依赖于对上下文信息的访问以帮助制定政策。对于受保护工作负载的微分段,最小元数据是指在数据中心应用程序和环境的上下文中描述工作负载的元数据。5.制定政策一旦整理好这些数据点,公司就可以为该特定业务流程构建零信任细分政策并对其进行验证。对于这个阶段,需要获取三个数据副本。首先,受保护工作负载的实时流量事件。接下来,每个工作负载和连接的上下文数据至关重要,包括与工作负载相关的元数据,以及直接源自工作负载的通信过程的详细信息。最后,业务需要绘制一个应用依赖图(基于前两个数据),方便应用所有者或细分领域的用户快速可视化具体应用的上下游依赖关系。您可以利用此应用程序依赖关系图来构建微分段策略。该策略只允许连接到应用程序运行所需的那些依赖项,零信任策略采用白名单方法来准确指定您允许的内容,默认情况下拒绝其他所有内容。6.验证、执行、监控一旦策略到位,无论是手动还是通过自动化,可用的流量和篡改监控使公司能够持续监控其环境状态并对任何变化做出反应。在此阶段,您必须了解哪些其他业务要素可能会受到影响并降低风险。对于暂存(隔离)工作,风险最大的阶段是强制执行不允许其他流量进出工作负载的书面策略。如果策略错误,则有可能中断生产。因此,必须有足够的机会控制和监视所执行的操作,以便可以快速检测和修复任何问题。这就是策略测试至关重要的地方——它允许企业在将新流程应用到最终系统之前在“测试环境”中设置新流程。鉴于在对系统造成最小中断的情况下尽快启动和运行新流程的重要性,理想情况下,组织不能指望“一次咬一口”,希望通过处理多个域来在零信任之旅中取得巨大收益一次完成任务。飞跃是不现实的。成功完成上述所有六个步骤后,您应该返回第一步重新开始,这次要关注不同的领域。通过重复该过程,组织可以逐步扩展其零信任实施并不断改善其整体安全态势,最终目标是覆盖整个基础设施。即使实施了政策,这个过程也不会就此结束,公司必须持续监控流量并调查任何异常情况。零信任是一种安全策略,而不是其本身的结果。组织必须不断了解他们在零信任支柱上的成熟度水平,这样他们才能继续确定哪些支柱需要更多关注,并采取渐进步骤来提高成熟度。
