长期以来,政府及相关企业组织在开展零信任建设方面存在诸多疑虑和顾虑,阻碍了零信任技术的应用。为此,美国国家安全电信咨询委员会(NSTAC)于2021年底向美国政府提交了《零信任和可信身份管理报告》(以下简称《报告》)。这份报告详细回顾了零信任的发展历史,并通过总结众多零信任项目、指南和要求,梳理出零信任实施面临的主要挑战和要求,以及企业和组织在零信任建设中需要特别关注的八个问题。一个点。Point1:零信任需要长期承诺《报告》认为确认零信任是一项变革性的工作,政府和其他组织需要承诺至少十年的投入。这包括改变行业和组织政策以推动零信任文化,并开始从根本上重新设计组织的技术系统架构。《报告》告诫用户提防那些声称可以让组织在一夜之间实现“零信任”的供应商。要点2:使用可靠的零信任指南如果您想了解零信任,参考已发布的指南和出版物会很有帮助。这包括《NIST 800-207:零信任架构》、美国国防部的《零信任参考架构》、美国国家安全局(NSA)的《拥抱零信任安全模型》、美国网络与安全基础设施局(CISA)的《零信任成熟度模型》、美国管理和预算办公室(OMB)《联邦零信任战略》等第3点:制定科学的实施方案与任何其他长期战略项目一样,零信任项目建设前需要制定科学的实施方案。NSTAC指南列出了零信任实施的五个步骤:定义保护范围、映射交易流、构建零信任架构、制定零信任策略以及监控和维护网络。这既强调了实施零信任是一个耗时的迭代过程,也暗示了零信任可以轻松实现的误解。要点四:零信任策略与合规要求一致。推广零信任是一个繁琐的过程,需要投入资金、时间和人力。孤立地实施零信任只会增加工作量。《报告》强调要明确零信任策略和现有的合规要求,确保两者一致。如果两者不一致,组织注定要失败。随着组织开始努力重新设计系统和网络架构以适应零信任,合规性和授权可能需要重新进行。如果在这种情况下不实施自动化,组织将因同时做两份工作而疲惫不堪。Point5:设立零信任项目办公室的另一重要建议《报告》是需要在重点区域设立零信任项目办公室,尽可能使用共享服务。美国国防部最近宣布成立零信任计划办公室。NSTAC呼吁联邦政府效仿,成立一个部门来监督实施指南、结构和战略手册。这样,各个政府部门就可以利用办公室加快实施各自独立的零信任工作。商业组织(企业界),尤其是大公司,不同业务部门往往各行其是,可以像政府部门一样设立零信任项目办公室。要点六:利用云服务加速零信任的采用零信任的推广也离不开云服务。NSTAC表示,“更快地采用云服务将大大加快联邦机构对零信任的采用”,其优势涉及数据、身份和自动化。.云采用还可以帮助机构和组织应对不断增长的远程劳动力。Point7:有效的身份管理是零信任成功的关键《报告》也强调了有效身份管理对零信任的重要性,包括对个人身份和非个人实体身份的管理。《报告》强调了对现代身份管理解决方案的需求,该解决方案要与组织运营所在的现代云原生和远程劳动力环境保持一致,请参阅《NIST 800-63-3:数字身份指南》。要点8:共享某些功能的安全服务除了需要集中的程序办公室外,还建议共享特定功能的安全服务,例如可访问互联网的资产发现。NSTAC《报告》指出,多种解决方案不仅导致管理复杂化,也使终端用户在集成和磨合上面临挑战,这无疑会阻碍零信任的落地。IT/网络安全共享服务可以为机构和组织带来众多好处,包括成本/许可效率、增强的可见性和提高的效率。参考链接:https://www.csoonline.com/article/3652339/8-takeaways-for-cisos-from-the-nstac-zero-trust-report.html
