企業(yè)要監(jiān)控和衡量所有自有資產(chǎn)和相關(guān)資產(chǎn)的完整性和安全態(tài)勢

在零信任模式中，沒有任何設(shè)備或資產(chǎn)是天生受到信任的，每個(gè)資源請求都應(yīng)觸發(fā)安全態(tài)勢評估。這包括持續(xù)監(jiān)控有權(quán)訪問環(huán)境的企業(yè)資產(chǎn)的狀態(tài)、這些資產(chǎn)由企業(yè)擁有還是由另一家實(shí)體擁有、它們是否有權(quán)訪問內(nèi)部資源，還包括根據(jù)從持續(xù)監(jiān)控和報(bào)告獲得的洞察力，快速打上補(bǔ)丁、修復(fù)漏洞。

回到前面基于會話授予訪問權(quán)的例子，可以檢查設(shè)備態(tài)勢，以確保設(shè)備沒有高危漏洞或缺乏重要的安全修正版和補(bǔ)丁。

通過對自有資產(chǎn)和相關(guān)資產(chǎn)的完整性和安全態(tài)勢進(jìn)行動態(tài)洞察和監(jiān)控，可以圍繞授予的訪問級別(如果授予的話)來制定策略和決策。

所有的資源驗(yàn)證和授權(quán)都是動態(tài)的，在允許訪問之前需嚴(yán)格執(zhí)行

正如前一個(gè)例子所討論的，授予訪問權(quán)和信任是以一種動態(tài)持續(xù)的方式進(jìn)行的。這意味著它是一個(gè)持續(xù)不斷的周期：掃描設(shè)備和資產(chǎn)，使用信號來獲取更深入的洞察力，并在做出信任決策之前加以評估。這是一個(gè)持續(xù)的動態(tài)過程，并不是說用戶創(chuàng)建了擁有相關(guān)資源權(quán)限的帳戶后就到此為止。這是一個(gè)迭代的過程，每個(gè)策略執(zhí)行決策都牽涉眾多的因素

企業(yè)要盡可能多的收集關(guān)于資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信等現(xiàn)狀的信息，并利用這些信息改善安全態(tài)勢

技術(shù)環(huán)境面臨無數(shù)威脅，企業(yè)必須保持持續(xù)監(jiān)控能力，以確保自己意識到環(huán)境中發(fā)生的情況。

零信任架構(gòu)由前面討論的NIST 800-207中提到的這三個(gè)核心部分組成：

• PE(策略引擎)
• PA(策略管理員)
• PEP(策略執(zhí)行點(diǎn))

圖1. 零信任的幾個(gè)核心部分

這些核心部分使用從資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信等現(xiàn)狀收集的信息來改善決策，并確保避免批準(zhǔn)有關(guān)訪問的高風(fēng)險(xiǎn)決策。

零信任是一個(gè)旅程

許多企業(yè)常犯的一個(gè)錯(cuò)誤是以為零信任就是目的地、能一蹴而就。他們所做的無非是購買正確的工具，然后在自身環(huán)境中實(shí)現(xiàn)零信任。這不是零信任該有的樣子。當(dāng)然，工具可以幫助企業(yè)實(shí)現(xiàn)零信任的一些方面，使企業(yè)更接近零信任架構(gòu)，但工具并非萬靈藥。與IT和網(wǎng)絡(luò)安全的大多數(shù)領(lǐng)域一樣，零信任由人、流程和技術(shù)組成。

正如NSA(美國國家安全局)的出版物《擁抱零信任安全模式》所述，主要建議包括從成熟度的角度來看待零信任，包括初期準(zhǔn)備、基礎(chǔ)階段、中級階段和高級成熟階段。

圖2. 零信任成熟度

說了這么多，第一步是準(zhǔn)備。明確你所處的現(xiàn)狀、缺口在哪里以及你的架構(gòu)、實(shí)踐和流程與上述的幾條零信任原則如何保持一致，然后制定一項(xiàng)計(jì)劃來解決這些問題，最重要的是，要認(rèn)識到，這需要一定的時(shí)間來實(shí)現(xiàn)。

作者：Chris Hughes。Chris Hughes在IT/網(wǎng)絡(luò)安全行業(yè)有近15年的從業(yè)經(jīng)驗(yàn)，除了在私營部門擔(dān)任顧問外，還曾在美國空軍服過役，并在美國海軍和GSA(總務(wù)管理局)下設(shè)的FedRAMP (聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目)任職公務(wù)員。

原文網(wǎng)址：

https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html