随着网络边界的消失,零信任技术成为业界普遍关注的焦点。然而,在零信任理念下,企业需要面临大量的授权和资产识别工作,涉及到企业各种业务系统、认证系统、终端设备、接入协议的对接。因此,其建设难度可想而知。信托项目的发展终将面临建设周期长、运维压力大、投入产出低的挑战。零信任项目要想取得成功,不仅需要企业用户投入足够的人力、时间、资源和预算来保障,还需要确保所选的零信任安全厂商真正具备应对施工挑战的能力。因此,在零信任项目实施之前,企业用户需要向零信任安全厂商提出以下八个问题,并做出准确的判断:1、零信任安全厂商能否帮助用户充分利用现有的网络安全基础设施?在采用零信任理念之前,许多企业多年来在安全和网络软硬件设备上投入了大量资金。安全供应商必须能够在尽可能利用现有技术和设备的同时向零信任解决方案转型。大多数企业已经实施了一些与零信任相关的要素,如身份管理、访问控制、双因素认证、网络分段等管理策略。这些企业需要的是一种全面、集成和可扩展的策略驱动方法,以实现零信任解决方案的全面实施。他们需要找到可以帮助他们实施零信任的解决方案,同时对企业内的现有基础架构进行最少的更改。转型安全供应商。2、零信任安全厂商是否真正了解用户零信任建设的需求和目标?一个优秀的零信任解决方案提供商在为企业制定方案时,不会只是在管理层面前说说而已,而是会根据企业组织目前面临的实际业务挑战,建立清晰的解决方案,保证这些解决方案的实施效果在一定程度上,力求实现企业组织所要求的业务目标。组织的具体目标可能包括为在家工作的员工提供安全的远程访问、保护本地和云端的敏感数据,或者为软件开发人员增强API安全性等。因此,安全厂商必须能够根据企业组织的具体业务需求定制可执行且有效的解决方案。3.未来零信任安全厂商是否有能力将用户企业的身份管理纳入整体安全管控措施?身份安全是构建新一代安全架构体系的基础,零信任安全厂商必须符合企业组织的需求,并有足够的技术能力帮助企业采用全面的身份管理策略进行安全管控。网络系统,这不是一件容易的事。目前,企业组织在身份管理方面存在诸多空白。例如,很多企业忽视了在员工访问Web应用等场景中采用精细化身份管理的必要性。有许多单点解决方案(例如Web应用程序防火墙)可以填补这些空白,但如果这些单点解决方案没有很好地集成,它们将无法形成支持所有身份用例的整体解决方案。而更成熟的安全供应商可以通过安全编排、自动化和响应(SOAR)或扩展检测和响应(XDR)等工具帮助企业组织实现最大程度的统一身份管理。4、零信任安全厂商能否帮助企业组织合理规划零信任建设的优先级,快速取得阶段性应用成果?安全厂商在为企业组织构建零信任解决方案时应将用户体验放在首位,并尽量保证零信任解决方案在企业内部实施过程的顺利进行,否则员工会认为该解决方案阻碍了正常工作并将尝试绕过解决方案中包含的安全控制链接。针对这个问题,安全厂商可以在企业组织中部署基于数字证书的身份验证,逐步淘汰那些烦人的用户名和密码身份验证。如果企业员工通过云端或其他面向互联网的应用软件访问办公应用,安全厂商可以帮助企业建立免密码、支持双因素认证的接入方式,让企业员工零安全相信。程序的接受度将会增加。这样,企业高管在发现员工同意零信任解决方案的初步实施后,更愿意为其他更复杂的零信任项目提供资金支持。5、值得信赖的安全厂商能否帮助企业用户实现全球数据安全保护?构建零信任解决方案的核心目的是保护企业数据资产的安全,不被非法访问和窃取。如果无法实现全局数据安全保护,零信任安全建设将变得毫无意义。针对这一问题,零信任安全厂商应该从数据资产的发现入手。首先,要帮助企业盘点数据资产,了解企业中有哪些数据,这些数据存储在哪里,如何跟踪这些数据;然后,确定哪些数据是敏感数据,并制定数据分类管理,同时对这些数据资产进行跟踪保护和自动管理。6、零信任安全厂商能否帮助用户建立精细化的安全访问控制策略?零信任概念的宗旨是企业中的任何人在没有得到充分验证之前都将被视为不可信。然而,许多安全供应商在为企业组织设置和实施细粒度安全访问控制方面做得并不好。当零信任安全供应商帮助组织实施零信任解决方案时,他们需要知道自己的最终用户是谁。哪些用户可以登录?这些用户登录后有哪些操作权限?例如,企业负责应收账款管理的员工每月只能在支付账单时访问某些文件夹。7、零信任安全厂商能否通过微隔离等技术帮助用户减少企业网络的攻击面?网络隔离技术由来已久,但零信任将这一概念推向了更精细的层次,即微隔离。在零信任网络中,安全厂商需要能够帮助企业组织围绕单个终端或单个主机系统创建网段,使企业内部员工的访问行为得到绝对控制。比如,以前人力资源部门整体可能在同一个网段,但是安全厂商在企业内部实现微隔离后,人力资源主管和其他部门员工可能有自己的网段,并且定义明确的防火墙规则可以规定他们可以做什么和不能做什么。如果一个企业组织要采用微分段的方式,这就需要安全厂商有非常强的网络配置和控制能力。8、零信任安全厂商是否具备快速可靠的系统事件应急响应能力?没有100%的安全,网络安全系统也会出现故障。一旦用户企业的身份安全管理系统或其他零信任安全设施出现故障,安全厂商不仅要考虑单点故障本身的修复,还要考虑可能产生的更广泛、连锁的安全风险,因为导致这些单点故障的安全事件可能包括有针对性的潜在危险,例如黑客攻击和员工恶意行为。当事件发生时,安全厂商必须能够帮助企业全面分析故障原因。是否有被曝光企业组织的账户信息?会不会导致第三方非法访问?外部攻击者是否有可能通过横向移动绕过零信任?防御策略?对于突发的安全事件,安全厂商在为企业部署零信任解决方案时应尽可能综合考虑,建立完善的补救策略。安全厂商应该定期帮助组织进行安全事件处理演练,这样在安全事件发生后,可以确保企业组织第一时间知道如何最有效地处理,将企业损失降到最低。参考链接https://www.networkworld.com/article/3660776/8-questions-to-ask-vendors-about-zero-trust-network-access-ztna.html。
