過去，我們認(rèn)為企業(yè)如同一座被城墻(防火墻)、護(hù)城河(DMZ)和吊橋(訪問控制)層層防護(hù)起來的堅固城池，但隨著網(wǎng)絡(luò)攻擊手段的不斷升級、犯罪販子的日益猖獗、遠(yuǎn)程辦公常態(tài)化所帶來的攻擊面增大等眾多因素的影響下，零信任理念已經(jīng)逐漸成為解決網(wǎng)絡(luò)安全問題的重要推手。

iSMG最近發(fā)布的《2022年零信任策略報告》顯示：絕大多數(shù)受訪者都表示零信任對于降低網(wǎng)絡(luò)安全風(fēng)險至關(guān)重要;近一半(46%)的受訪者表示零信任是2022年最重要的安全實踐。

此外，F(xiàn)orrester的另一項面向300余家大型企業(yè)的調(diào)查報告也顯示：78%的安全高管均計劃在今年增加對零信任的使用力度。

盡管零信任是大多數(shù)網(wǎng)絡(luò)安全團(tuán)隊的首選，但其實際落地卻不盡樂觀。在Forrester所調(diào)查的企業(yè)中，能夠全面部署零信任的企業(yè)所占比例僅為6%;另有30%的受訪者表示只是在企業(yè)局部部署了零信任;還有63%的受訪者表示，其企業(yè)內(nèi)部對零信任項目現(xiàn)仍于評估、規(guī)劃或試點階段。

2021年5月，美國政府在改善國家網(wǎng)絡(luò)安全的行政令中要求政府機(jī)構(gòu)要采用零信任方案，政令發(fā)布后，美國行政管理和預(yù)算辦公室(英文簡稱：OMB)隨即發(fā)布了如何推進(jìn)零信任架構(gòu)落地的戰(zhàn)略方案，此外，接二連三，CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書《零信任架構(gòu)規(guī)劃》，其中，《零信任架構(gòu)規(guī)劃》闡述了如何利用網(wǎng)絡(luò)安全框架(CSF)和NIST風(fēng)險管理框架(RMF，SP800–37)來助力企業(yè)順利遷移升級為零信任架構(gòu)。

以下是上述國外應(yīng)對零信任架構(gòu)實際落地的五個優(yōu)秀實踐總結(jié)，供讀者了解、參考：

1. 明了需要保護(hù)哪些層面

安全風(fēng)險評估應(yīng)從攻擊者角度出發(fā)。例如，企業(yè)安全團(tuán)隊最常關(guān)注的潛在攻擊面有：

• 安全邊界在哪？
• 外部人員將會如何闖入？
• 有什么潛在的方法可以闖入？

NIST的《零信任架構(gòu)規(guī)劃》給出的建議是，建立安全防護(hù)需要先從數(shù)據(jù)和應(yīng)用程序出發(fā)，應(yīng)先分析價最高、風(fēng)險最大的數(shù)據(jù)信息和資產(chǎn)。因為保護(hù)面比攻擊面的范圍和邊界要小得多。

當(dāng)在零信任架構(gòu)中，找不到任何需要保護(hù)的邊界時，企業(yè)可以在資產(chǎn)周圍設(shè)置“微邊界”，通過微邊界，企業(yè)用戶可以全面的了解和控制，何人在何地、何時，通過何種手段進(jìn)行了訪問。

因此，企業(yè)可以根據(jù)業(yè)務(wù)的重要等級，來確定受保護(hù)對象的重要性和優(yōu)先級。先確定最關(guān)鍵的應(yīng)用程序，然后再確定次重要的。層層遞減，如此便可實現(xiàn)對所有應(yīng)用程序的等級保護(hù)。

2. 提高可見性

CISA在《零信任成熟度模型》中表示，企業(yè)在圍繞身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)等執(zhí)行點實施零信任時，實現(xiàn)可見性，即全面的了解一切資產(chǎn)如何相互連接是執(zhí)行上述策略的基礎(chǔ)。

用戶、設(shè)備和服務(wù)都需要連接到數(shù)據(jù)中心。如果企業(yè)不了解該環(huán)境的運作方式，就試圖強(qiáng)制執(zhí)行零信任，則會使該環(huán)境變得更復(fù)雜，從而導(dǎo)致安全缺口或工作流程中斷。在保證了可見性之后，企業(yè)就可以清晰的了解到應(yīng)采取怎樣的可信執(zhí)行策略。

3. 構(gòu)建新邊界：微隔離

NIST在《零信任架構(gòu)》中表示，與傳統(tǒng)防護(hù)手段相同，零信任理念保證數(shù)據(jù)中心安全的前提也是確保網(wǎng)絡(luò)環(huán)境和周邊環(huán)境安全。但差別在于如何在數(shù)據(jù)中心創(chuàng)建“微邊界”(micro-boundary)，零信任要求只有通過審核標(biāo)準(zhǔn)的流量才能通過。

因此在構(gòu)建零信任架構(gòu)時，網(wǎng)段和邊界相比傳統(tǒng)模式會變得更小。因此，微隔離策略應(yīng)與現(xiàn)有的網(wǎng)絡(luò)架構(gòu)相脫離，并要具被靈活的擴(kuò)展功能。

此外，在部署零信任架構(gòu)時，允許訪問的列表要基于策略，而不是基于IP地址。這項工作十分繁重，傳統(tǒng)通過人工的方式無法解決，而零信任網(wǎng)絡(luò)訪問解決方案則使用機(jī)器學(xué)習(xí)(ML) 或人工智能(AI)來了解流量模式和訪問邏輯，以幫助企業(yè)創(chuàng)建自動訪問策略。

4. 做好身份管理

無論企業(yè)選擇部署哪種框架或模型，身份都是零信任安全的基礎(chǔ)，都需要身份來源認(rèn)證和基于角色的訪問控制等關(guān)鍵組件。身份來源不僅要包含用戶的身份，還要包括服務(wù)帳戶、應(yīng)用程序會話、暫時身份和云資產(chǎn)。

零信任要求在提供安全訪問之前先驗證身份，這對于VPN等傳統(tǒng)解決方案是不可能實現(xiàn)的。軟件定義邊界(Software-Defined Perimeter，簡稱“SDP”)或零信任架構(gòu)不僅僅驗證IP地址，還在授予訪問權(quán)限之前，根據(jù)設(shè)備狀態(tài)、位置、時間、角色和權(quán)限來持續(xù)評估安全風(fēng)險。

此外，隨著數(shù)字足跡的大小和形狀發(fā)生變化，我們不再擁有“數(shù)字網(wǎng)絡(luò)”或“數(shù)字服務(wù)”。不過，我們現(xiàn)在擁有不斷擴(kuò)展的“數(shù)字生態(tài)系統(tǒng)”。假設(shè)企業(yè)在獲得這些新渠道、效率或敏捷性的同時希望保持安全，那就需要采用零信任架構(gòu)。

零信任模型可確保全面的審計跟蹤，基于身份的零信任會持續(xù)監(jiān)控所有用戶對系統(tǒng)中任何資源的每個訪問請求，無論在本地還是在云端。每當(dāng)身份(人或機(jī)器)試圖訪問資產(chǎn)時，都會根據(jù)其在會話期間的行為及其他上下文參數(shù)執(zhí)行風(fēng)險分析。更加便于合規(guī)策略的執(zhí)行。

5. 縮小攻擊面

盡力縮小攻擊面是減少風(fēng)險暴露、降低安全事件發(fā)生的關(guān)鍵。

在企業(yè)內(nèi)部，零信任理念的微隔離方法在提供了安全連接授權(quán)資源的便利的同時，也確保了任何身份未經(jīng)授權(quán)的資產(chǎn)都是不可見、不可訪問的。這減少了橫向移動，進(jìn)一步降低了內(nèi)部威脅。

此外，我們也可以在企業(yè)外部運用零信任理念，以防范外部網(wǎng)絡(luò)威脅和攻擊。比如，移動辦公的員工經(jīng)常面臨網(wǎng)絡(luò)釣魚攻擊。要減少諸如此類的攻擊面，我們只需做好這幾項工作：主動了解數(shù)字足跡(如上所述)、監(jiān)控通訊渠道以尋找攻擊指標(biāo)(最好結(jié)合威脅情報)，以及迅速應(yīng)對已識別的威脅(包括打補(bǔ)丁)。

參考鏈接：https://hackernoon.com/how-do-i-adopt-the-zero-trust-framework