5 個方面實現零信任的落地

■本刊編輯部

如今，企業員工期望能擁有靈活的工作方式；各種應用正在遷移到云上；公司的IT 設備和應用越來越多樣化……所有這些因素正在打破企業的安全邊界，這使得傳統的安全防護手段變得過時，但同時也為零信任的發展鋪平了道路。

傳統的安全防護方式將企業網絡中的所有內容（用戶、設備和應用）大致歸類為可信任的。這些模型通過利用諸如VPN 和網絡訪問控制（NAC）之類的傳統安全技術，在授予訪問權限之前驗證外部用戶的憑證。因此，其防護重點就是加強網絡邊界，然后在成功驗證憑證之后授予訪問者對企業內部數據的訪問權限。有時也將其形容為“城堡與護城河”（Castle and Moat）模型，其中，城堡指的是擁有重要數據和應用的企業，而護城河則是指阻止潛在威脅的防護體系。

但是，在當今復雜的IT世界中，用戶可以從各類型的設備（移動設備、臺式機、物聯網等）來訪問各種類型的應用程序（SaaS、On-Prem、本地應用、虛擬應用等）。無論是在企業網絡內部還是外部，都需要擁有動態、靈活和簡單的安全模型。而近年來新興安全模型中最著名的也許就是零信任（Zero Trust）。

“零信任”是Forrester公司首席分析師John Kindervag 在2010 年首次提出的一個概念，用于描述使安全人員擺脫傳統以邊界為中心的無效方式，并指導他們建立基于對每臺設備與用戶之間的信任來進行連續驗證的模型。它通過從“信任并認證”轉向“永不信任且始終認證”的方法來做到這一點。實際上，該模型將所有資源視為外部資源，并在僅授予所需訪問權限之前不斷進行安全認證。

當然，從理論上講，這些都是有意義的。但是在落地實踐中，該如何實現零信任呢？在與客戶討論如何建立零信任安全架構時，我們將重點介紹五個主要方面：設備信任（Device Trust）；用戶信任（User Trust）；傳輸/ 會話信任（Transport/Session Trust）；應用信任（Application Trust）和數據信任（Data Trust）。

接下來將分別深入探討這些方面，以及建立對這幾個方面的信任所需的基礎技術。

設備信任

對于零信任而言，IT 管理員首先需要了解設備，然后才能信任它們。您必須有一個清單，該清單包括了組織里已經部署并控制的設備。IT 人員必須具有監視、管理和控制這些設備的解決方案。通過檢測設備的狀態，可以基于預定的安全策略來確定該設備是否可信任，以及該設備是否可控。統一端點管理（UEM）解決方案能夠使IT 團隊通過一個控制臺就可以做到對跨平臺的管理、監視和控制所有設備，包括移動設備、臺式設備、便攜式設備以及IoT 等。并且，通過集成端點檢測和響應（EDR）技術，可以對可能的惡意端點活動的檢測來進一步改善設備安全狀況。

用戶信任

事實一再證明，基于密碼的用戶身份認證效率低下。因此，作為零信任的一部分，組織必須使用更安全的用戶身份認證的方法。例如，強大的條件接收引擎（Conditional Access Engine）可以使用動態和上下文數據進行決策。通過構建blocks，可以使條件訪問引擎技術實現包括無密碼身份認證（例如生物識別）、多因素身份認證（MFA）、條件接收策略和動態風險評分等功能。

傳輸/會話信任

零信任的另一個關鍵要素是最小權限原則。即用戶或系統應當具有完成任務所必需的最小權限集合——不多也不少。最小權限原則授予了用戶執行其工作所需的最小權限，并限制了用戶的越權訪問行為。實現最低權限訪問的技術包括微分段、傳輸加密和會話保護。作為一個特定示例，Per-app 通道可以對某些單個應用程序進行控制來訪問內部資源。這種限制意味著可以允許某些應用程序訪問內部資源，而阻止其他應用程序與后端系統通信。

應用信任

使員工能夠從任何設備安全無縫地訪問應用程序，包括傳統的Windows 應用，這對于創建數字工作區（Digital Workspace）和實施零信任至關重要。隨著用戶身份認證的不斷改善，實現對應用的單點登錄（SSO）不僅能夠獲得良好的安全性，而且還改善了用戶體驗。而對于那些非零信任的傳統應用，我們可以以隔離的形式來實現安全防護。為了對傳統應用程序實現隔離，可以利用虛擬桌面或應用環境作為實現從傳統架構向未來零信任架構轉變的橋梁。

數據信任

歸根結底，最重要的是數據，這也是我們需要進行安全防護工作的原因。我們必須防止數據泄露，并確保與用戶交互數據是正確的且未經篡改的。數據泄露防護（DLP）等技術可有效防止敏感數據的外泄或被破壞。盡管數據分類和完整性在很大程度上是由應用程序來處理的，但在構建零信任架構時，我們應盡可能提高信任級別。

一旦建立了以上五個方面的信任，就可以做出準確的安全策略來進行授權或拒絕訪問。在做出授予訪問權限的決定后，不斷進行再次認證是至關重要的。一旦信任級別發生變化，則組織必須能夠立即采取措施。此外，通過在五個方面之間建立信任關系，我們可以獲得可見性，并且可以跨數字工作區環境來收集分析數據。借助可見性和分析功能，我們可以構建自動化和編排。