企業(yè)要監(jiān)控和衡量所有自有資產和相關資產的完整性和安全態(tài)勢

在零信任模式中，沒有任何設備或資產是天生受到信任的，每個資源請求都應觸發(fā)安全態(tài)勢評估。這包括持續(xù)監(jiān)控有權訪問環(huán)境的企業(yè)資產的狀態(tài)、這些資產由企業(yè)擁有還是由另一家實體擁有、它們是否有權訪問內部資源，還包括根據從持續(xù)監(jiān)控和報告獲得的洞察力，快速打上補丁、修復漏洞。

回到前面基于會話授予訪問權的例子，可以檢查設備態(tài)勢，以確保設備沒有高危漏洞或缺乏重要的安全修正版和補丁。

通過對自有資產和相關資產的完整性和安全態(tài)勢進行動態(tài)洞察和監(jiān)控，可以圍繞授予的訪問級別(如果授予的話)來制定策略和決策。

所有的資源驗證和授權都是動態(tài)的，在允許訪問之前需嚴格執(zhí)行

正如前一個例子所討論的，授予訪問權和信任是以一種動態(tài)持續(xù)的方式進行的。這意味著它是一個持續(xù)不斷的周期：掃描設備和資產，使用信號來獲取更深入的洞察力，并在做出信任決策之前加以評估。這是一個持續(xù)的動態(tài)過程，并不是說用戶創(chuàng)建了擁有相關資源權限的帳戶后就到此為止。這是一個迭代的過程，每個策略執(zhí)行決策都牽涉眾多的因素

企業(yè)要盡可能多的收集關于資產、網絡基礎設施和通信等現狀的信息，并利用這些信息改善安全態(tài)勢

技術環(huán)境面臨無數威脅，企業(yè)必須保持持續(xù)監(jiān)控能力，以確保自己意識到環(huán)境中發(fā)生的情況。

零信任架構由前面討論的NIST 800-207中提到的這三個核心部分組成：

• PE(策略引擎)
• PA(策略管理員)
• PEP(策略執(zhí)行點)

圖1. 零信任的幾個核心部分

這些核心部分使用從資產、網絡基礎設施和通信等現狀收集的信息來改善決策，并確保避免批準有關訪問的高風險決策。

零信任是一個旅程

許多企業(yè)常犯的一個錯誤是以為零信任就是目的地、能一蹴而就。他們所做的無非是購買正確的工具，然后在自身環(huán)境中實現零信任。這不是零信任該有的樣子。當然，工具可以幫助企業(yè)實現零信任的一些方面，使企業(yè)更接近零信任架構，但工具并非萬靈藥。與IT和網絡安全的大多數領域一樣，零信任由人、流程和技術組成。

正如NSA(美國國家安全局)的出版物《擁抱零信任安全模式》所述，主要建議包括從成熟度的角度來看待零信任，包括初期準備、基礎階段、中級階段和高級成熟階段。

圖2. 零信任成熟度

說了這么多，第一步是準備。明確你所處的現狀、缺口在哪里以及你的架構、實踐和流程與上述的幾條零信任原則如何保持一致，然后制定一項計劃來解決這些問題，最重要的是，要認識到，這需要一定的時間來實現。

作者：Chris Hughes。Chris Hughes在IT/網絡安全行業(yè)有近15年的從業(yè)經驗，除了在私營部門擔任顧問外，還曾在美國空軍服過役，并在美國海軍和GSA(總務管理局)下設的FedRAMP (聯(lián)邦風險和授權管理項目)任職公務員。

原文網址：

https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html