近年來，發(fā)生的數(shù)據(jù)泄露事件變得越來越普遍。從2021年1月1日到2021年9月30日，全球各地發(fā)生了近1300起數(shù)據(jù)泄露事件，這和2020年全年相比高出近20%，而在此期間，由于很多人在家遠(yuǎn)程工作，數(shù)據(jù)泄露事件的破壞程序比以往任何時候都要嚴(yán)重。

網(wǎng)絡(luò)攻擊者為了獲利，數(shù)據(jù)泄露事件將會繼續(xù)增長。眾所周知，新冠疫情導(dǎo)致了很多企業(yè)向遠(yuǎn)程工作的快速轉(zhuǎn)變以及許多與業(yè)務(wù)相關(guān)的變化。持續(xù)蔓延的疫情和員工對傳統(tǒng)工作環(huán)境的看法發(fā)生了普遍變化，這讓很多企業(yè)放棄了讓員工重返辦公室的想法。這也產(chǎn)生了對數(shù)據(jù)保護(hù)的需求，企業(yè)需要采取新的舉措應(yīng)對，例如投資數(shù)據(jù)加密。

一些企業(yè)將這種現(xiàn)狀視為戰(zhàn)略性提高生產(chǎn)力的一個很好的方法。然而，即使一些企業(yè)對遠(yuǎn)程工作持樂觀態(tài)度，他們?nèi)匀槐仨殤?yīng)對挑戰(zhàn)。這對于避免可能損害業(yè)務(wù)的數(shù)據(jù)泄露是必要的。

目前企業(yè)面臨的一個主要挑戰(zhàn)是網(wǎng)絡(luò)安全。更多的網(wǎng)絡(luò)安全專業(yè)人員擁有大數(shù)據(jù)背景，能夠解決這些問題。

企業(yè)需要確定策略來改進(jìn)遠(yuǎn)程團(tuán)隊(duì)的安全協(xié)議和實(shí)踐。例如針對遠(yuǎn)程員工的多因素身份驗(yàn)證(MFA)等特定策略，但這些特定方法需要適應(yīng)更大、更全面的網(wǎng)絡(luò)安全圖景。這種整體的安全方法看起來越來越依賴于零信任架構(gòu)。

如果零信任安全方法成為2022年企業(yè)的優(yōu)先事項(xiàng)，那么以下是關(guān)于數(shù)據(jù)保護(hù)零信任的一個全面的指南，介紹了實(shí)施零信任安全方法應(yīng)該了解的內(nèi)容。

什么是零信任架構(gòu)?

零信任是目前網(wǎng)絡(luò)安全領(lǐng)域最突出的術(shù)語之一，但它不僅僅是一個流行術(shù)語。事實(shí)上，它看起來可能在很多方面代表了網(wǎng)絡(luò)安全的未來。零信任是一項(xiàng)通過消除信任概念來防止數(shù)據(jù)泄露的舉措。

除了從不信任之外，零信任的第二個哲學(xué)要素是始終驗(yàn)證。

零信任通過網(wǎng)絡(luò)分段保護(hù)通?；谠频沫h(huán)境。零信任還有助于防止橫向移動，并有助于簡化細(xì)粒度用戶訪問控制的實(shí)施。

John Kindervag在擔(dān)任Forrester Research公司副總裁兼首席分析師時創(chuàng)建了“零信任”這一術(shù)語。他得出的結(jié)論是，傳統(tǒng)的安全模型是在過時的假設(shè)上運(yùn)行的。

基本操作的假設(shè)是網(wǎng)絡(luò)中的所有內(nèi)容都應(yīng)該可信。此外，在傳統(tǒng)模型中假定用戶身份不會受到損害。零信任模型顛覆了這些傳統(tǒng)概念，將信任視為一種弱點(diǎn)。

一旦網(wǎng)絡(luò)攻擊者進(jìn)入網(wǎng)絡(luò)，他們就可以橫向移動。這種橫向移動可能會導(dǎo)致數(shù)據(jù)泄露。

保護(hù)面

在零信任中，有一個由最關(guān)鍵的資產(chǎn)、數(shù)據(jù)、服務(wù)和應(yīng)用程序組成的受保護(hù)面，而受保護(hù)的面是特定組織所獨(dú)有的。

保護(hù)面僅包含對企業(yè)的操作最關(guān)鍵的內(nèi)容，因此它比攻擊面小得多。

一旦確定了受保護(hù)的面，企業(yè)就可以開始了解與保護(hù)面相關(guān)的流量如何在其企業(yè)中移動。然后開始了解用戶是誰、他們使用什么應(yīng)用程序以及他們?nèi)绾芜B接。只有這樣，企業(yè)才能創(chuàng)建和實(shí)施安全數(shù)據(jù)訪問策略。

創(chuàng)建微邊界變得重要，這意味著企業(yè)將控件盡可能靠近保護(hù)面。

在實(shí)施零信任策略以保護(hù)其核心應(yīng)用之后，實(shí)時監(jiān)控和維護(hù)將繼續(xù)進(jìn)行。作為監(jiān)控的一部分，一些企業(yè)正在尋求應(yīng)包含在保護(hù)面中的任何其他內(nèi)容、未考慮的相互依賴性以及可以改進(jìn)整體策略的方法。

簡而言之，零信任架構(gòu)的基本原則包括：

• 違約假設(shè)
• 假設(shè)企業(yè)擁有的環(huán)境與非企業(yè)擁有的環(huán)境并不更值得信賴或不同
• 持續(xù)分析和評估風(fēng)險
• 持續(xù)使用風(fēng)險緩解保護(hù)措施
• 最大限度地減少資產(chǎn)訪問和用戶對資源的訪問
• 每次有訪問請求時，身份和安全性的持續(xù)身份驗(yàn)證和授權(quán)

不依賴位置

企業(yè)現(xiàn)在可能比以往任何時候都更多地聽到采用零信任的原因是它不依賴于位置。對于遠(yuǎn)程工作，這至關(guān)重要。

用戶、應(yīng)用程序和設(shè)備無處不在，通常沒有地理界限。企業(yè)不能只在一個地點(diǎn)實(shí)施零信任，因此必須強(qiáng)制執(zhí)行將其擴(kuò)展到整個環(huán)境。與此同時，通過擴(kuò)展，企業(yè)的用戶需要訪問適當(dāng)?shù)臄?shù)據(jù)和應(yīng)用程序。

零信任的好處是什么?

如果企業(yè)正在考慮是否將資源投入到零信任的轉(zhuǎn)變中，其好處是廣泛的，其中包括：

(1)更高的可見性

由于2020年遠(yuǎn)程工作迅速增加，IT團(tuán)隊(duì)難以獲得確保企業(yè)安全所需的可見性。

零信任意味著企業(yè)需要可見性才能使其發(fā)揮作用，從而提供戰(zhàn)略方法。而在理想情況下，企業(yè)需要涵蓋所有數(shù)據(jù)和計(jì)算源，盡管這可能不太現(xiàn)實(shí)。

但是，一旦企業(yè)設(shè)置了所需的監(jiān)控，就可以完全了解誰在訪問其網(wǎng)絡(luò)以及他們當(dāng)時正在采取什么行動。

(2)更簡單的IT管理

零信任依賴于持續(xù)監(jiān)控和持續(xù)分析的概念。自動化元素可以是評估訪問請求的一部分。IT團(tuán)隊(duì)不必積極參與批準(zhǔn)所有請求，他們只能在自動化系統(tǒng)將請求標(biāo)記為潛在可疑時才介入執(zhí)行管理職責(zé)。

由于大多數(shù)企業(yè)報告缺乏網(wǎng)絡(luò)安全技能，因此這一優(yōu)勢尤為重要。企業(yè)通過零信任方法自動化網(wǎng)絡(luò)安全的次數(shù)越多，其團(tuán)隊(duì)就越能將時間投入到戰(zhàn)略工作中。

通過使用集中監(jiān)控和分析，企業(yè)的安全團(tuán)隊(duì)可以更智能地工作。分析的收集可幫助團(tuán)隊(duì)獲得他們原本無法獲得的獨(dú)特見解。安全團(tuán)隊(duì)可以提高效率，用更少的資源做更多的事情，同時維護(hù)一個更安全的環(huán)境。

(3)更好的數(shù)據(jù)保護(hù)

零信任提供更好的數(shù)據(jù)保護(hù)，防止員工和惡意軟件訪問企業(yè)的大量網(wǎng)絡(luò)。

當(dāng)企業(yè)限制用戶可以訪問的內(nèi)容以及他們可以訪問的時間時，如果發(fā)生違規(guī)行為，就會減少其帶來的影響。

(4)確保遠(yuǎn)程勞動力的安全

2020年接受調(diào)查的IT高管和安全專業(yè)人士中，70%以上的受訪者表示他們擔(dān)心遠(yuǎn)程工作帶來的風(fēng)險和漏洞。在零信任模型下，身份構(gòu)成了邊界。否則防火墻就難以應(yīng)對這些風(fēng)險，因?yàn)閿?shù)據(jù)分布在云中。

身份附加到試圖獲得訪問權(quán)限的設(shè)備、應(yīng)用程序和用戶。

(5)高效訪問

零信任框架附帶的自動化可幫助用戶快速訪問他們需要的內(nèi)容，因此他們無需等待批準(zhǔn)。只有在出現(xiàn)高風(fēng)險標(biāo)志時，IT團(tuán)隊(duì)才會介入。遠(yuǎn)程工作者不必通過緩慢的網(wǎng)關(guān)來訪問他們完成工作所需的內(nèi)容。與其相反，他們可以直接訪問資源。

(6)持續(xù)合規(guī)

零信任有助于合規(guī)性，因?yàn)槊總€訪問請求都會被記錄和評估。企業(yè)需要一個自動創(chuàng)建的審計(jì)跟蹤，帶有持續(xù)的證據(jù)鏈。

創(chuàng)建零信任架構(gòu)

盡管有很多好處，但一些企業(yè)對實(shí)施零信任的想法感到不知所措，并且通常不知道從哪里開始。因此大致了解流程中的步驟可以獲得一些幫助。

這些步驟包括：

• 了解工作流程。
• 了解所有服務(wù)和應(yīng)用程序。
• 決定要使用的技術(shù)。
• 規(guī)劃技術(shù)之間的交互。
• 構(gòu)建基礎(chǔ)設(shè)施并配置技術(shù)。

更具體地說，這些步驟包括：

• 識別需要網(wǎng)絡(luò)訪問的用戶。在不知道誰需要訪問哪些資源的情況下，企業(yè)無法在零信任實(shí)施中進(jìn)一步發(fā)展。這不僅僅是收集用戶列表，與其相反，必須考慮所有人，包括服務(wù)帳戶和第三方承包商。
• 識別需要網(wǎng)絡(luò)訪問的設(shè)備。由于物聯(lián)網(wǎng)(IoT)和BYOD政策，現(xiàn)在更具挑戰(zhàn)性，但仍然是零信任的必備條件。
• 企業(yè)的關(guān)鍵流程是什么?可以通過關(guān)注低風(fēng)險流程開始轉(zhuǎn)向零信任，因?yàn)檫@樣就不必?fù)?dān)心業(yè)務(wù)中的關(guān)鍵停機(jī)時間。
• 創(chuàng)建策略。
• 從這一點(diǎn)開始，企業(yè)可以開始確定解決方案。解決方案的考慮因素包括它是否需要行為改變，以及它是否提供對應(yīng)用程序、協(xié)議和服務(wù)的支持。

最后，當(dāng)企業(yè)了解一切將如何運(yùn)作時，可以開始遷移，然后根據(jù)需要盡可能擴(kuò)展零信任架構(gòu)。

零信任是阻止未來數(shù)據(jù)泄露的關(guān)鍵

數(shù)據(jù)泄露如今比以往任何時候都更加令人擔(dān)憂。這凸顯了采取嚴(yán)厲措施來確保其數(shù)字資產(chǎn)安全的必要性。如果企業(yè)還沒有制定轉(zhuǎn)向零信任的計(jì)劃，那么現(xiàn)在就是應(yīng)該開始的時候，將其作為未來一年的重要戰(zhàn)略重點(diǎn)。采用零信任，企業(yè)可以有效防止黑客訪問數(shù)據(jù)。