近年來，越來越多的企業(yè)準備采用零信任架構(gòu)來實現(xiàn)更好的安全防護。對于許多企業(yè)來說，零信任的建設需要全面改變架構(gòu)、流程和安全意識，這不是一蹴而就的改變，而是一個循序漸進的過程。

那么，企業(yè)應該如何建立高效、安全的零信任體系呢?以下梳理了開展零信任建設時需要做好的16項準備工作。

1. 識別數(shù)據(jù)資產(chǎn)

公司應考慮的第一步是了解企業(yè)目前的數(shù)據(jù)資產(chǎn)，特別是非結(jié)構(gòu)化數(shù)據(jù)，以提高數(shù)據(jù)安全性。只有充分掌握了數(shù)據(jù)資產(chǎn)情況，并了解數(shù)據(jù)的類型及存儲位置，才可以對如何保護數(shù)據(jù)做出明智的決定，從而打造高效的零信任環(huán)境。如果你不知道自己擁有什么數(shù)據(jù)或存儲在哪里，有效保護數(shù)據(jù)將無從談起。

2. 培養(yǎng)零信任企業(yè)文化

如果使用零信任安全以后，企業(yè)員工的安全意識卻沒有同步提升，這項技術的應用效果將難以充分發(fā)揮。將企業(yè)的安全防護與員工安全意識實現(xiàn)掛鉤，對于提高零信任應用效率至關重要。公司必須注重培養(yǎng)一種倡導透明、信任和開放溝通的企業(yè)文化，輔以持續(xù)培訓和相應技術手段，才可以有效提升員工的安全意識，全面防御所有攻擊面。

3. 改造現(xiàn)有的權限訪問

零信任建設早期的一種常見方式就是評估企業(yè)目前的安全狀況，并讓所有員工開始使用最低權限訪問。此外，企業(yè)要能夠?qū)?shù)據(jù)進出訪問進行控制，并擁有必要的安全工具，比如安全信息和事件管理系統(tǒng)，用于取證分析研究。

4. 評估權限策略

由于零信任需要為用戶提供執(zhí)行工作所需的最低權限，因此其有效實施的基礎是對權限進行合理評估，這包括了解現(xiàn)有權限、微調(diào)現(xiàn)有權限以滿足公司的目標，以及制定訪問管理策略。一旦掌握了這些信息，就可以開始選擇相應的實現(xiàn)技術。

5.合理規(guī)劃建設預期

大多數(shù)供應商都聲稱可提供完整的零信任安全解決方案，但事實上沒有哪款產(chǎn)品能做到。零信任是一種理念，企業(yè)需要明確驗證身份、位置、設備運行狀況、服務及/或工作負載，旨在出現(xiàn)違規(guī)行為時盡量減小影響、劃分訪問范圍。成功的零信任安全項目大都從身份管理、多因子身份驗證和最低權限訪問等角度入手，逐步建設完善。

6. 確保訪問設備的可用性

準備建設零信任的企業(yè)需確定哪些已有訪問控制設備仍可用、哪些不可用，這樣才可以在零信任建設時明確定義訪問方法，建立強壯的驗證機制，并有效保護允許訪問零信任環(huán)境的端點。

7. 提前考慮用戶體驗

安全和用戶體驗常常相沖突，但是不一定非得這樣。在敲定零信任安全流程、制定策略和明確需求之前，考慮用戶活動范圍變化和體驗。推出零信任新模式后，要考慮如何傳達體驗方面的優(yōu)勢(比如無密碼單點登錄)，而不是一味關注安全方面的優(yōu)勢。

8. 全面了解攻擊面

對攻擊面的了解是保證零信任持續(xù)保護用戶、網(wǎng)絡和應用程序的前提。首先，企業(yè)要列出一份最新的內(nèi)外應用程序清單和軟件材料清單，然后利用這些信息制定一項持續(xù)且自動化的應用程序計劃。

9. 及時了解業(yè)務需求

有效實施零信任模式需從業(yè)務需求入手。詢問要保護什么資產(chǎn)、為何保護，來確定哪些方面采用零信任技術能更有效提高安全能力，這最終將支持企業(yè)的零信任戰(zhàn)略。

10. 梳理當前的訪問權限

企業(yè)建立零信任策略的第一步是，了解員工和服務賬戶權限的現(xiàn)狀。深入審查企業(yè)的所有訪問權限有助于查明哪里的潛在威脅最大，以便在零信任建設時考慮如何應對。

11. 選擇合適的零信任框架

一套定義明確的零信任框架是實現(xiàn)高效零信任的關鍵要素，這樣安全團隊可以地輕松將正確的安全控制融入到軟件開發(fā)流程中，并確保其可以融入到統(tǒng)一的安全管理平臺中，云原生環(huán)境下尤為如此。在建設過程中，安全團隊不應該再需要重新定義零信任，而是應對使用哪些軟件控制機制、要遵守哪些約定等了然于胸。

12. 將加密與細粒度訪問控制相結(jié)合

網(wǎng)絡分段和訪問控制在零信任應用中都是很常見的。通過端到端加密和訪問控制的結(jié)合，可以更好地實現(xiàn)零信任數(shù)據(jù)安全。

13. 確保不影響生產(chǎn)

零信任建設需要能幫助企業(yè)提高生產(chǎn)力而不是妨礙生產(chǎn)。當網(wǎng)絡安全保護機制影響了員工工作時，就需要企業(yè)及時調(diào)整策略，在信任員工的同時，賦予員工可以訪問完成工作所需的應用程序和數(shù)據(jù)的適當權限。

14. 了解應用系統(tǒng)的風險

與邊界防護的傳統(tǒng)策略相比，在構(gòu)建零信任時企業(yè)需明確系統(tǒng)風險概況，并針對具體的應用程序來調(diào)整安全方法。基于邊界的策略假設任何獲準穿越防護都可以訪問里面的資源。然而，零信任是確保即使有權在企業(yè)內(nèi)部訪問，企業(yè)內(nèi)的每個訪問點仍另有安全核查機制。

15. 掌握訪問網(wǎng)絡的所有設備

掌握訪問網(wǎng)絡的每個設備是建立零信任環(huán)境的最大挑戰(zhàn)之一。組織面臨的最大風險之一是連接到網(wǎng)絡的個人(設備)，因為他們通常是網(wǎng)絡釣魚攻擊或社會工程攻擊的主要目標。零信任環(huán)境下疏忽任一個設備，都可能導致安全漏洞被利用。

16. 持續(xù)關注零信任技術的發(fā)展

遷移到零信任需要慎重規(guī)劃，盡早定義需要保護的關鍵資產(chǎn)和基礎設施很重要?，F(xiàn)有系統(tǒng)和零信任環(huán)境需要時間磨合才能共存，且對于大多數(shù)企業(yè)來說，不會是一次性升級。目前零信任技術仍在快速成長，持續(xù)了解零信任技術和解決方案的發(fā)展對于長期保護投資很重要。

參考鏈接：https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792