零信任的概念在10年前往往無人重視，2020年的疫情爆發(fā)將它推到企業(yè)安全重點關(guān)注的首要位置。COVID-19大流行推動了大規(guī)模的遠(yuǎn)程工作，在復(fù)雜多樣的使用環(huán)境下，幾乎是一夜之間將組織傳統(tǒng)的基于系統(tǒng)的安全模型打破。在這種遠(yuǎn)程工作的新常態(tài)中，組織的網(wǎng)絡(luò)不再是一個單一的位置和事物，它無時無刻地存在于某個地方。即使我們查看到的在一個地方使用單一數(shù)據(jù)中心的組織，該數(shù)據(jù)中心也可以由多個設(shè)備上的多個用戶訪問。

[[397265]]

當(dāng)今的網(wǎng)絡(luò)環(huán)境復(fù)雜且多變，如果不采用零信任方法，惡意軟件(尤其是勒索軟件)將不受網(wǎng)絡(luò)干擾，導(dǎo)致網(wǎng)絡(luò)某一部分遭到破壞時可能會導(dǎo)致組織癱瘓。近年，我們看到了多個勒索軟件攻擊的例子：從醫(yī)院、地方政府到大型公司的各個部門的組織都遭受了大規(guī)模停機(jī)。簡而言之，純粹基于系統(tǒng)的安全模型已經(jīng)變得不再有意義。

那么，組織應(yīng)該如何應(yīng)用“零信任”藍(lán)圖來解決其新的復(fù)雜網(wǎng)絡(luò)問題?通過以下五個步驟尋找出有價值的數(shù)據(jù)、數(shù)據(jù)去向以及如何使用數(shù)據(jù)成為了實現(xiàn)零信任網(wǎng)絡(luò)的最合乎邏輯的方法。成功做到這一點的唯一方法是自動化和編排。

1. 識別和分段數(shù)據(jù)

這是實施“零信任”的最復(fù)雜領(lǐng)域之一，因為它要求組織確定哪些數(shù)據(jù)是敏感的。

在嚴(yán)格監(jiān)管環(huán)境中運(yùn)營的企業(yè)可能已經(jīng)知道該數(shù)據(jù)是什么，因為監(jiān)管機(jī)構(gòu)一直要求對此類數(shù)據(jù)進(jìn)行監(jiān)管。另一種方法是將人類可以訪問的系統(tǒng)與環(huán)境中的其他系統(tǒng)分開，如可以通過智能手機(jī)、便攜式計算機(jī)及臺式機(jī)連接的網(wǎng)絡(luò)部分。不幸的是，人類通常是最薄弱的環(huán)節(jié)，也是漏洞的第一來源 。因此將這些類型的網(wǎng)段與數(shù)據(jù)中心服務(wù)器分離是有意義的。自然地，所有進(jìn)入組織的家庭用戶連接都需要在隔離的網(wǎng)段中終止。

2. 映射敏感數(shù)據(jù)的流量并將其與業(yè)務(wù)應(yīng)用程序關(guān)聯(lián)

一旦確定了敏感數(shù)據(jù)，下一步就是知道數(shù)據(jù)的去向、用途以及應(yīng)用。當(dāng)數(shù)據(jù)跨網(wǎng)絡(luò)流動，系統(tǒng)和用戶可以通過許多業(yè)務(wù)應(yīng)用程序始終訪問跨網(wǎng)絡(luò)流動的數(shù)據(jù)。如果您不了解有關(guān)您的數(shù)據(jù)的信息，則無法有效地保護(hù)它。

自動化發(fā)現(xiàn)工具可以幫助您了解數(shù)據(jù)的意圖，為什么在那里流動?什么目的?正在傳輸什么數(shù)據(jù)?特定流服務(wù)于什么應(yīng)用程序?使用正確的工具讓您可以了解需要允許哪些流程，這樣就可以進(jìn)入“零信任”規(guī)則，判定“其他所有內(nèi)容都將不被允許”。

3. 構(gòu)建網(wǎng)絡(luò)

一旦知道應(yīng)該允許哪些流量(然后其他所有內(nèi)容都應(yīng)被阻止)，就可以著手設(shè)計網(wǎng)絡(luò)體系結(jié)構(gòu)以及執(zhí)行網(wǎng)絡(luò)微邊界的過濾策略，簡而言之就是設(shè)計控件以確保僅允許合法流。

當(dāng)前的虛擬化技術(shù)使您比過去更輕松地構(gòu)建此類網(wǎng)絡(luò)。數(shù)據(jù)中心和公共云提供商中的軟件定義網(wǎng)絡(luò)(SDN)平臺均允許您在網(wǎng)絡(luò)結(jié)構(gòu)中部署過濾器。因此從技術(shù)上講，可以將過濾策略放置在網(wǎng)絡(luò)中的任何位置。但是，實際上定義這些過濾策略的內(nèi)容是，控制允許流量的規(guī)則，這正是自動發(fā)現(xiàn)真正有效的地方。

在完成發(fā)現(xiàn)過程之后，您將能夠了解流的意圖，并可以在不同區(qū)域和段之間放置邊界。這是您要實現(xiàn)的控制量與安全性之間的平衡。由于存在許多連接或微細(xì)分的孤島，因此您必須要考慮需要花費多少時間來設(shè)置和管理它們。發(fā)現(xiàn)意圖是使這一過程變得簡單的方法，因為它幫助您決定在邏輯上應(yīng)該把這些片段放在哪里。

4. 監(jiān)控

一旦部署了微段和策略，就必須監(jiān)視所有內(nèi)容，這是可見性發(fā)揮作用的地方。知道是否存在問題的唯一方法是始終監(jiān)視整個基礎(chǔ)架構(gòu)上的流量。

監(jiān)控有兩個重要方面：首先需要持續(xù)合規(guī)，您肯定不希望只在審核員出現(xiàn)時才檢查自己是否合規(guī)。這意味著您需要一直監(jiān)視配置和流量，并且當(dāng)審核員出現(xiàn)時，您可以向他們展示最新報告。

其次，組織必須對監(jiān)控中的學(xué)習(xí)階段和執(zhí)行階段進(jìn)行區(qū)分。在學(xué)習(xí)階段，您正在監(jiān)視網(wǎng)絡(luò)以了解其中的所有流情況，并根據(jù)它們的意圖對其進(jìn)行分析，這允許您在編寫策略規(guī)則之前查看哪些流是必要的。然而，到了一定的時候，你必須停止學(xué)習(xí)，并確定任何你沒有看到的流為異常現(xiàn)象，并將默認(rèn)策略設(shè)為阻止。在這里，你可以從默認(rèn)的“允許”策略到默認(rèn)的“拒絕”策略或組織的“D-DAY”政策進(jìn)行大的轉(zhuǎn)換。

在此階段，您可以出于強(qiáng)制目的而切換到監(jiān)視。此后任何開發(fā)人員想要允許另一個數(shù)據(jù)流通過數(shù)據(jù)中心的請求都必須提交更改申請并獲得許可后才能通過。

5. 自動化和協(xié)調(diào)

最后，進(jìn)入“D-DAY”的唯一途徑是借助策略引擎，這是整個網(wǎng)絡(luò)策略背后的中心 “大腦”。否則，您每次需要進(jìn)行更改時都必須在整個基礎(chǔ)架構(gòu)中采用手動方式執(zhí)行所有操作。

由自動化流程啟用的策略引擎能夠?qū)⑷魏胃恼埱笈c您定義為合法業(yè)務(wù)連接要求的內(nèi)容進(jìn)行比較。如果其他連接請求符合可接受的用途定義時，則它應(yīng)該以全自動方式繼續(xù)零接觸，這需要花費幾分鐘來實現(xiàn)更新部署的篩選過濾。只有超出可接受使用準(zhǔn)則要求時才需要由專人進(jìn)行審核和批準(zhǔn)。

一旦獲得批準(zhǔn)(自動或經(jīng)過審核)，就需要進(jìn)行部署更改。如果您必須使用各種不同的技術(shù)(有各自的復(fù)雜性和配置要求)將更改部署到潛在的數(shù)百個不同的執(zhí)行點中，沒有智能自動化系統(tǒng)，幾乎不可能完成此更改請求過程。

關(guān)注業(yè)務(wù)成果而不是安全成果

由于流程變得更快、更靈活同時又不影響安全性或合規(guī)性，因此消除安全部署中的復(fù)雜性可以帶來真正的業(yè)務(wù)成果。目前， 在許多組織中，即使已經(jīng)進(jìn)行了有限的細(xì)分，但在“D-DAY”進(jìn)行變更后的進(jìn)度仍然非常緩慢，常常需要花費數(shù)周的時間才能完成安全批準(zhǔn)階段，甚至還需要花費更多的人力、物力。而微細(xì)分可能使這一過程變得更加復(fù)雜。

但是，使用我在此處概述的步驟來實現(xiàn)“零信任”自動化實踐方式，意味著從提出更改請求到部署和實施的端到端時間可以減少到一天甚至幾小時，且不會帶來風(fēng)險。簡而言之，自動化意味著組織花費更少的時間和預(yù)算來管理其安全基礎(chǔ)架構(gòu)，而將更多的精力用于業(yè)務(wù)實現(xiàn)，這是一個真正的雙贏局面。