在美國各地?cái)?shù)以百萬計(jì)的員工首次嘗試居家辦公的情況下，許多組織已開始重新審視零信任安全戰(zhàn)略。趨勢(shì)和技術(shù)的融合，再加上對(duì)僅僅依靠外圍防御實(shí)現(xiàn)安全保護(hù)所帶來風(fēng)險(xiǎn)的新認(rèn)識(shí)，都意味著讓零信任成為主流的時(shí)機(jī)已經(jīng)成熟。

傳統(tǒng)上，IT 安全基于外圍防御模型，例如中世紀(jì)由護(hù)城河環(huán)繞的城堡、修建有圍墻的城市。這種理念的目的是把入侵者擋到共享空間之外，同時(shí)假設(shè)圍墻內(nèi)的人都是可以信任的，可以在圍墻內(nèi)自由漫游（或多或少）。

由于目前網(wǎng)絡(luò)必須容納的互聯(lián)設(shè)備數(shù)量激增，外圍安全戰(zhàn)略多年來一直處于困境之中。近期發(fā)生的一些事件進(jìn)一步突顯了外圍防御的局限性，因?yàn)?IT 部門在應(yīng)對(duì)突然增多且都是首次使用不受 IT 控制的家用計(jì)算機(jī)來接入網(wǎng)絡(luò)的遠(yuǎn)程工作人員時(shí)，顯得異常艱難。

不信任任何人

零信任假設(shè)任何人都不能信任，這顛覆了傳統(tǒng)的網(wǎng)絡(luò)安全。雖然這聽起來有些苛刻，但只要能做到，每個(gè)人的工作都會(huì)變得更輕松。

想要做到這一點(diǎn)并非易事。若要讓“零信任”發(fā)揮作用，采用者需要在整個(gè)組織范圍內(nèi)作出承諾。他們需要對(duì)所有 IT 和數(shù)據(jù)資產(chǎn)進(jìn)行分類，并根據(jù)角色分配訪問權(quán)限。在這一過程中，他們需要鎖定一些常見漏洞。舉例來說，絕對(duì)不允許 Web 服務(wù)器直接與其他 Web 服務(wù)器通信，而只能通過指定的端口與應(yīng)用服務(wù)器進(jìn)行通信。

數(shù)據(jù)也需要進(jìn)行分類。某些信息，例如公司團(tuán)隊(duì)的壘球時(shí)間安排表，可能根本不需要任何保護(hù)。商業(yè)秘密和其他專有數(shù)據(jù)則需要受限用戶類別進(jìn)行多級(jí)身份驗(yàn)證。

需要對(duì)網(wǎng)絡(luò)進(jìn)行分段，以禁止橫向移動(dòng)，而橫向移動(dòng)長(zhǎng)期以來一直都是大規(guī)模數(shù)據(jù)泄露的元兇。當(dāng)工作負(fù)載在虛擬機(jī)和云服務(wù)器之間移動(dòng)時(shí)，必須彼此隔離并受到保護(hù)。直到最近，管理這樣的環(huán)境也一直都是一項(xiàng)艱巨任務(wù)，不過形勢(shì)正在發(fā)生變化。

零信任示例

第一個(gè)重要的發(fā)展是，多重身份驗(yàn)證 (MFA) 最終成為了主流：LastPass 披露的數(shù)據(jù)顯示，去年的業(yè)務(wù)采用率增長(zhǎng)至 57%（之前一年為 45%）。MFA 使用二級(jí)甚至是三級(jí)身份驗(yàn)證，其范圍涵蓋了從硬件設(shè)備到發(fā)送給手機(jī)的短信代碼。盡管它還不夠完善，但相比很久以前就已失去作用的基本密碼安全機(jī)制而言，它是一個(gè)巨大進(jìn)步。

一項(xiàng)重要的技術(shù)發(fā)展是軟件定義網(wǎng)絡(luò) (SDN) 的成熟，其中網(wǎng)絡(luò)管理從物理防火墻和交換機(jī)轉(zhuǎn)移到軟件。在 SDN 網(wǎng)絡(luò)中，由于分段是由軟件定義并由策略管理的，因此實(shí)現(xiàn)網(wǎng)絡(luò)分段要容易得多。Verizon 近期的一項(xiàng)調(diào)研發(fā)現(xiàn)，57% 的組織希望在兩年內(nèi)實(shí)施 SDN，而目前只有 15% 的組織希望采用 SDN。

第三個(gè)重要發(fā)展是健全的身份和訪問管理 (IAM) 系統(tǒng)。這些軟件平臺(tái)通常作為服務(wù)交付，會(huì)創(chuàng)建聯(lián)合身份，而這些身份會(huì)隨用戶在整個(gè)企業(yè)網(wǎng)絡(luò)和云應(yīng)用中傳播。IAM 會(huì)強(qiáng)制執(zhí)行組織定義的身份驗(yàn)證策略。用戶登錄一次即可訪問大多數(shù)的應(yīng)用，無需跟蹤多個(gè)登錄名和密碼。 

零信任無法一蹴而就

零信任并不容易實(shí)現(xiàn)。上面提到的想法可以幫助您的組織朝著正確的方向邁進(jìn)，但是如果您不能在一個(gè)月甚至一個(gè)季度內(nèi)革新戰(zhàn)略，就不要挑戰(zhàn)自己的極限。Silicon Angle 報(bào)道稱，Lexmark 用了兩年的時(shí)間圍繞零信任原則來全面革新服務(wù)于 8,500個(gè)用戶的網(wǎng)絡(luò)。

這一過程需要對(duì)公司的所有數(shù)據(jù)和 IT 資產(chǎn)進(jìn)行分類，還需要封閉一些漏洞，比如個(gè)人計(jì)算機(jī)上的默認(rèn)管理權(quán)限。首席信息安全官 (CISO) Bryan Willett 花了很多時(shí)間向持懷疑態(tài)度的用戶解釋這一決定，但最終的結(jié)果是值得的?，F(xiàn)在，他們可以更輕松地獲取所需數(shù)據(jù)，而且由第三方服務(wù)機(jī)構(gòu)評(píng)出的公司安全準(zhǔn)備程度得分也大大提高。 

當(dāng)組織針對(duì)可能出現(xiàn)的業(yè)務(wù)中斷做準(zhǔn)備時(shí)，零信任模型會(huì)讓他們更加放心。在 Gartner 魔力象限當(dāng)中， IBM IAM 連續(xù)三年占據(jù)領(lǐng)導(dǎo)者地位。

作者簡(jiǎn)介

[[355024]]

Paul Gillin

Gillin + Laberis 合作伙伴 

Paul Gillin曾撰寫過有關(guān)社交和數(shù)字營(yíng)銷主題的 5 本書和 300 多篇文章，目前是 Biznology.com 的一名全職專欄作家。

 * 點(diǎn)擊前往 “IBM 安全專區(qū)”，了解更多企業(yè)安全策略與實(shí)踐案例

歷史精彩文章推薦 >>>

 * IBM 馮靚：混合云時(shí)代的原生安全觀

 * 遠(yuǎn)程工作環(huán)境中的可視性與威脅檢測(cè)

 * 如何通過互聯(lián)性的方法提升威脅管理水平？

 * 保護(hù)個(gè)人身份信息從這里開始

關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。