行業(yè)專家表示，根據(jù)與多家企業(yè)的首席信息安全官(CISO)和首席信息全官(CIO)合作的經(jīng)驗(yàn)，實(shí)現(xiàn)零信任的道路通常并不像人們想象的那樣容易。而為了實(shí)現(xiàn)基于零信任的安全性，需要專門(mén)的人員、廣泛的利益相關(guān)者之間達(dá)成一致意見(jiàn)，并采用適當(dāng)?shù)念A(yù)算，有效邁向零信任模式的唯一方法是迭代地進(jìn)行。

為什么通往零信任的道路如此艱難?

業(yè)界人士對(duì)于零信任已經(jīng)討論了很長(zhǎng)一段時(shí)間，但許多企業(yè)尚未實(shí)施。要記住的一件事是，零信任不是一種工具，而是一組概念和想法，用于強(qiáng)制執(zhí)行最低特權(quán)訪問(wèn)。

零信任模型為企業(yè)提供了一個(gè)全局策略，這使得它具有挑戰(zhàn)性，因?yàn)槠髽I(yè)的部門(mén)通常是分散的，不同的部門(mén)負(fù)責(zé)不同的網(wǎng)絡(luò)安全控制措施。在企業(yè)中實(shí)現(xiàn)零信任的唯一方法是獲得自上而下的支持和領(lǐng)導(dǎo)，然后需要在所有部門(mén)之間建立這種協(xié)作。企業(yè)必須讓所有團(tuán)隊(duì)和利益相關(guān)者在某一方面達(dá)成一致。

如何才能在企業(yè)中獲得對(duì)零信任模型的支持和管理?

零信任模型必須定位為支持業(yè)務(wù)，特別是檢查自動(dòng)化技術(shù)可以在哪些方面減少摩擦，并實(shí)現(xiàn)更敏捷、更高效的業(yè)務(wù)。如果企業(yè)目前沒(méi)有可用于自動(dòng)化關(guān)鍵安全功能的技術(shù)能力，例如用戶生命周期的自動(dòng)化、配置和其他安全功能，那么需要首先專注于構(gòu)建這些基礎(chǔ)功能，然后才能實(shí)施零信任.

基礎(chǔ)功能將改善實(shí)現(xiàn)零信任所需的安全態(tài)勢(shì)和威脅響應(yīng)準(zhǔn)備。在零信任的情況下，對(duì)訪問(wèn)應(yīng)用程序或數(shù)據(jù)的任何主體都可以強(qiáng)制執(zhí)行訪問(wèn)。為了實(shí)現(xiàn)真正的零信任，訪問(wèn)決策不僅需要基于主體的肯定標(biāo)識(shí)，還需要基于其他場(chǎng)景信息(例如，主體使用端點(diǎn)的健康狀況以及請(qǐng)求發(fā)起的網(wǎng)絡(luò)的健康狀況))。動(dòng)態(tài)策略實(shí)施需要關(guān)于網(wǎng)絡(luò)和端點(diǎn)的近乎實(shí)時(shí)的信息，以便為經(jīng)過(guò)身份驗(yàn)證的用戶做出訪問(wèn)決策，即使用戶擁有適當(dāng)?shù)氖跈?quán)。

此外，仍然需要身份管理系統(tǒng)來(lái)提供粗粒度訪問(wèn)，這將為策略執(zhí)行點(diǎn)提供授權(quán)信息。完全零信任方法需要在網(wǎng)絡(luò)和端點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，以及編排以添加策略執(zhí)行點(diǎn)所需的額外場(chǎng)景。

正如人們所看到的，零信任是如此全面和廣泛，以至于企業(yè)可能遭受分析癱瘓：那么從哪里開(kāi)始?如何在一定的時(shí)間和預(yù)算內(nèi)完成如此大的項(xiàng)目?

行業(yè)專家所看到的工作是通過(guò)迭代過(guò)程將其分解為階段/步驟，并確定快速獲勝的領(lǐng)域。例如，企業(yè)在哪里還存在重大風(fēng)險(xiǎn)，如何將這些風(fēng)險(xiǎn)降到最低?解決這一問(wèn)題的方法包括分割最敏感的網(wǎng)絡(luò)和實(shí)施身份訪問(wèn)管理，需要逐步地實(shí)現(xiàn)。當(dāng)然，所有這些措施都必須對(duì)業(yè)務(wù)/用戶透明。

哪些行業(yè)或企業(yè)處于領(lǐng)先地位并取得了進(jìn)展，而其他行業(yè)或企業(yè)才剛剛起步?

在這一過(guò)程中比較領(lǐng)先的企業(yè)通常是金融機(jī)構(gòu)和政府授權(quán)的企業(yè)。

金融公司擁有必須保護(hù)的敏感數(shù)據(jù)，并且(與其他垂直行業(yè)的企業(yè)相比)擁有更高水平的網(wǎng)絡(luò)安全成熟度、資源和團(tuán)隊(duì)。許多其他行業(yè)組織可能仍然專注于基礎(chǔ)知識(shí)，而金融機(jī)構(gòu)擁有足夠的帶寬和資金來(lái)繼續(xù)發(fā)展和改進(jìn)其網(wǎng)絡(luò)安全計(jì)劃。

根據(jù)美國(guó)去年發(fā)布的關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令，政府部門(mén)被要求轉(zhuǎn)向零信任模式?，F(xiàn)在，企業(yè)的每個(gè)部門(mén)都專注于改變他們對(duì)資產(chǎn)、身份以及這些用戶和資產(chǎn)所運(yùn)行的網(wǎng)絡(luò)的明確信任的方法。

美國(guó)設(shè)定2024年的最后期限是否現(xiàn)實(shí)?如果在這個(gè)期限之前實(shí)施，關(guān)鍵基礎(chǔ)設(shè)施應(yīng)該有什么樣的要求?

當(dāng)涉及到實(shí)施零信任的時(shí)間表以及《運(yùn)營(yíng)指令》中規(guī)定的2024年機(jī)構(gòu)截止日期時(shí)，最大的問(wèn)題是：

• 資金是否到位?
• 企業(yè)是否有成熟的安全計(jì)劃，具備適當(dāng)?shù)募寄?如云計(jì)算、身份難等)和適當(dāng)?shù)馁Y源嗎?
• 需要改變哪些基礎(chǔ)設(shè)施，供應(yīng)鏈能否滿足這些需求?在過(guò)去的幾年中，已經(jīng)全面看到了供應(yīng)鏈問(wèn)題，而這在現(xiàn)實(shí)和可能的情況下是不容忽視的。

在真正的零信任架構(gòu)中，多個(gè)基礎(chǔ)設(shè)施將需要與策略執(zhí)行點(diǎn)共享風(fēng)險(xiǎn)信息，以允許執(zhí)行實(shí)時(shí)動(dòng)態(tài)訪問(wèn)策略，這將需要編排以從每個(gè)相關(guān)基礎(chǔ)設(shè)施層提取場(chǎng)景信息。

最后，這意味著必須制定標(biāo)準(zhǔn)以建立對(duì)風(fēng)險(xiǎn)評(píng)分的共同理解和解釋，以便不同供應(yīng)商的解決方案可以共享安全態(tài)勢(shì)和信任相關(guān)信息，以便通過(guò)策略執(zhí)行點(diǎn)做出訪問(wèn)決策。這些分布式風(fēng)險(xiǎn)評(píng)估和編排功能將在未來(lái)幾年內(nèi)繼續(xù)成熟和發(fā)展。