零信任并不是一種產(chǎn)品，而是一種基于深度防御和最低特權(quán)訪問(wèn)概念的安全方法。

在零信任及其實(shí)施方面，似乎每個(gè)人都在玩“猜迷游戲”，并且是從政府指導(dǎo)開(kāi)始。美國(guó)政府在今年1月對(duì)美國(guó)管理和預(yù)算辦公室(OMB)針對(duì)聯(lián)邦機(jī)構(gòu)和部門(mén)的聯(lián)邦零信任戰(zhàn)略的評(píng)論既務(wù)實(shí)又充滿抱負(fù)。他們的觀察以Log4j漏洞為例，很好地總結(jié)了這一點(diǎn)：“零信任策略將使機(jī)構(gòu)和組織能夠更快地檢測(cè)、隔離和響應(yīng)這些類(lèi)型的威脅?！?/p>

然而，要使零信任戰(zhàn)略取得成功，實(shí)施者必須了解它是什么以及它所依據(jù)的基本原則。

零信任是新事物嗎?

在關(guān)于零信任主題的研討中，Trellix公司首席工程師兼漏洞研究主管Douglas McKee在Black Hat會(huì)議上指出，現(xiàn)實(shí)情況是“深度防御”和“最低特權(quán)訪問(wèn)原則””是流行術(shù)語(yǔ)“零信任”背后的基本要素。

與業(yè)務(wù)運(yùn)營(yíng)合作的首席信息安全官必須協(xié)作并協(xié)調(diào)對(duì)所需信息的訪問(wèn)，以便其同事可以在他們的整體任務(wù)中取得成功。他們需要的是不受阻礙地持續(xù)訪問(wèn)信息。這需要對(duì)整個(gè)企業(yè)生態(tài)系統(tǒng)的需求進(jìn)行持續(xù)和動(dòng)態(tài)的監(jiān)控。當(dāng)個(gè)人改變角色時(shí)，他們的需求將會(huì)調(diào)整，他們?cè)试S的訪問(wèn)權(quán)限也會(huì)隨之調(diào)整。當(dāng)員工離開(kāi)時(shí)，必須終止他們的訪問(wèn)。這說(shuō)起來(lái)容易，但對(duì)于很多企業(yè)和組織來(lái)說(shuō)似乎很難完成。

正如Code42公司首席執(zhí)行官Joe Payne所說(shuō)：“讓員工能夠以受信任的方式完成工作，并在企業(yè)的保護(hù)傘下，這樣如果他們冒險(xiǎn)離開(kāi)企業(yè)的流程和程序，例如加載到基于Web的存儲(chǔ)，他們就會(huì)立即得到糾正?！?/p>

沒(méi)有最低特權(quán)訪問(wèn)權(quán)限，零信任無(wú)法存在

這就是問(wèn)題所在。如果首席信息安全官不執(zhí)行最低特權(quán)訪問(wèn)原則，那么就不存在越界風(fēng)險(xiǎn)，因?yàn)樵L問(wèn)是允許和授權(quán)的。檢測(cè)個(gè)人竊取信息是一項(xiàng)艱巨的任務(wù)。員工遵循企業(yè)的所有流程和程序，只獲取他們可以自然獲取的信息，他們可以幾乎不受懲罰地收獲。

零信任的感知問(wèn)題

零信任比流行術(shù)語(yǔ)更復(fù)雜。Egress公司產(chǎn)品管理副總裁Steve Malone表示：“不幸的是，零信任存在一些認(rèn)知問(wèn)題：供應(yīng)商經(jīng)常錯(cuò)誤地陳述它，從而導(dǎo)致買(mǎi)家產(chǎn)生誤解。關(guān)于零信任最重要的一點(diǎn)是它不是一種產(chǎn)品。這不是可以從單一供應(yīng)商那里購(gòu)買(mǎi)的東西。零信任是一種安全方法、技術(shù)框架和最佳實(shí)踐，企業(yè)需要隨著時(shí)間的推移在其IT環(huán)境中定義和采用?！?/p>

健康且持續(xù)的遵守使每個(gè)人都保持警覺(jué)，并專(zhuān)注于如何訪問(wèn)、移動(dòng)和存儲(chǔ)信息。這種思維方式需要從企業(yè)高管到個(gè)人貢獻(xiàn)者都接受，因?yàn)榘踩珜?shí)施可能得到首席信息安全官及其信息安全專(zhuān)家團(tuán)隊(duì)的支持，因此在運(yùn)營(yíng)和生產(chǎn)中發(fā)揮了重要作用。

單一產(chǎn)品無(wú)法實(shí)現(xiàn)零信任

Malone繼續(xù)說(shuō)道，“一些企業(yè)很難實(shí)施零信任戰(zhàn)略。我看到的最大錯(cuò)誤是安全團(tuán)隊(duì)誤解了真正的零信任方法的含義。一些企業(yè)認(rèn)為零信任可以通過(guò)使用單獨(dú)的安全解決方案來(lái)實(shí)現(xiàn)，從而為問(wèn)題提供快速解決方案。然而，零信任不僅僅是部署單獨(dú)的解決方案?！?/p>

Malone總結(jié)說(shuō)：“不要被這個(gè)時(shí)髦的名稱(chēng)所迷惑。零信任不僅僅是另一個(gè)流行術(shù)語(yǔ)，也不是單一產(chǎn)品。這是一項(xiàng)重要的安全舉措?！?/p>

人員、流程和技術(shù)的重要性怎么強(qiáng)調(diào)都不為過(guò)。它們是最低特權(quán)訪問(wèn)原則和縱深防御戰(zhàn)略實(shí)施的核心。雖然根本不存在普遍的、教科書(shū)式的零信任實(shí)施，但卻存在零信任的原則。