一步步！16零信任建设准备_0

近年来，越来越多的企业准备采用零信任架构，以实现更好的安全防护。对于很多企业来说，零信任的建设需要在架构、流程和安全意识上进行全面变革。这不是一次性的改变，而是一个渐进的过程。那么，企业应该如何建立高效、安全的零信任体系呢？以下总结了开展零信任建设需要做好的16项准备工作。1.识别数据资产企业首先要考虑的是了解其现有数据资产，尤其是非结构化数据，以提高数据安全性。只有当你很好地掌握了你的数据资产，并了解数据的类型和存储位置时，你才能就如何保护它做出明智的决定，从而创造一个高效的零信任环境。如果您不知道自己拥有哪些数据或存储在何处，就不可能有效地保护数据。2、培育零信任的企业文化。如果在使用零信任安全后，企业员工的安全意识没有同步提高，就无法充分发挥该技术的应用效果。将企业安全保护与员工安全意识联系起来，对于提高零信任应用的效率至关重要。企业必须着力培育提倡透明、信任、开放沟通的企业文化，辅之以持续的培训和相应的技术手段，才能有效提高员工的安全意识，全面防御所有攻击面。3.改造现有的特权访问零信任推出早期的一种常见方法是评估组织当前的安全状况，并开始对所有员工使用最低特权访问。此外，组织需要能够控制对数据进出的访问，并拥有必要的安全工具，如安全信息和事件管理系统，用于取证分析研究。4.评估权限策略由于零信任需要为用户提供执行其工作所需的最低权限，其有效实施的基础是对权限的合理评估，包括了解现有权限，微调现有权限以满足公司目标，并制定访问管理政策。获得这些信息后，您就可以开始选择合适的实施技术。5.合理的规划和建设预期大多数厂商都声称可以提供完整的零信任安全解决方案，但实际上没有任何产品可以做到。零信任是组织需要明确验证身份、位置、设备运行状况、服务和/或工作负载的理念，目的是在发生违规事件时最大限度地减少影响和范围访问。大多数成功的零信任安全项目都是从身份管理、多因素身份验证和最小特权访问的角度出发，逐步构建和完善它们。6.保证接入设备的可用性准备建设零信任的企业需要确定现有的哪些接入控制设备是可用的，哪些是不可用的，这样在零信任建设的时候就可以明确定义接入方式，建立强认证机制，以及有效的保护允许在零信任环境中访问端点。7.预先考虑用户体验安全和用户体验经常发生冲突，但它们不一定是。在最终确定零信任安全流程、制定策略和阐明要求之前，考虑用户范围的变化和体验。在推出新的零信任模型时，请考虑如何传达体验的好处（例如无密码单点登录），而不是只关注安全的好处。8.全面了解攻击面了解攻击面是确保零信任持续保护用户、网络和应用程序的先决条件。它首先开发最新的内部和外部应用程序清单和软件物料清单，然后使用此信息开发持续的自动化应用程序计划。9.紧跟业务需求零信任模型的有效实施需要从业务需求入手。询问要保护哪些资产以及为什么要保护，以确定零信任技术在哪些方面可以更有效地提高安全能力，这最终将支持企业的零信任战略。10.制定当前访问权限为企业构建零信任策略的第一步是了解员工和服务帐户权限的当前状态。深入审查整个组织的所有访问权限可以帮助查明潜在威胁最大的地方，以便在建立零信任时可以考虑这些威胁。11.选择正确的零信任框架一套定义良好的零信任框架是有效零信任的关键要素，这样安全团队就可以轻松地将正确的安全控制纳入软件开发过程，并确保它们可以集成到统一框架。在云原生环境中尤其如此。在构建过程中，安全团队应该不再需要重新定义零信任，而是应该清楚使用哪些软件控制机制，遵守哪些协议。12.将加密与细粒度的访问控制相结合网络分段和访问控制在零信任应用中都很常见。通过端到端的加密和访问控制相结合，可以更好地实现零信任数据安全。13.确保生产不受影响零信任需要帮助企业提高生产力，而不是阻碍生产。当网络安全保护机制影响到员工工作时，企业需要及时调整策略。在信任员工的同时，还应该给予员工适当的权限，让他们能够访问完成工作所需的应用程序和数据。14.了解应用系统的风险与传统的边界防护策略相比，企业在构建零信任时，需要明确系统风险概况，针对具体应用调整安全措施。基于边界的策略假定任何允许的遍历守卫都可以访问内部资源。但是零信任就是要保证即使你在企业内部有访问权限，企业内部的每个访问点还是有另外一个安全验证机制。15.控制接入网络的每一台设备控制接入网络的每一台设备是建立零信任环境的最大挑战之一。组织面临的最大风险之一是连接到网络的个人（设备），因为他们通常是网络钓鱼或社会工程攻击的主要目标。在零信任环境中对任何设备的疏忽都可能导致安全漏洞被利用。16.继续重点发展零信任技术。迁移到零信任需要仔细规划。尽早定义需要保护的关键资产和基础设施非常重要。现有系统和零信任环境需要时间才能共存，而且对于大多数企业而言，这不会是一次性升级。目前，零信任技术仍在快速增长，持续了解零信任技术和解决方案的发展对于长期投资保护非常重要。参考链接：https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792