零信任安全架構應如何落地

呂蘊藉

過去，我們認為企業如同一座被城墻（防火墻）、護城河（DMZ）和吊橋（訪問控制）層層防護起來的堅固城池，但隨著網絡攻擊手段的不斷升級、犯罪販子的日益猖獗、遠程辦公常態化所帶來的攻擊面增大等眾多因素的影響下，零信任理念已經逐漸成為解決網絡安全問題的重要推手。

iSMG最近發布的《2022年零信任策略報告》顯示：絕大多數受訪者都表示零信任對于降低網絡安全風險至關重要，46 %的受訪者表示零信任是2022年最重要的安全實踐。

此外，Forrester的另一項面向300余家大型企業的調查報告也顯示：78 %的安全高管均計劃在今年增加對零信任的使用力度。

盡管零信任是大多數網絡安全團隊的首選，但其實際落地卻不盡樂觀。在Forrester所調查的企業中，能夠全面部署零信任的企業所占比例僅為6 %；另有30 %的受訪者表示只是在企業局部部署了零信任；還有63 %的受訪者表示，其企業內部對零信任項目現仍于評估、規劃或試點階段。

2021年5月，美國政府在改善國家網絡安全的行政令中要求政府機構要采用零信任方案，政令發布后，美國行政管理和預算辦公室（OMB）隨即發布了如何推進零信任架構落地的戰略方案，此外，CISA也在2021年秋季發布了《零信任成熟度模型》、NIST發布了白皮書《零信任架構規劃》，其中，《零信任架構規劃》闡述了如何利用網絡安全框架（CSF）和NIST風險管理框架（RMF）來助力企業順利遷移升級為零信任架構。

以下是國外應對零信任架構實際落地的5個優秀實踐。

1.保護層面

安全風險評估應從攻擊者角度出發，例如，企業安全團隊最常關注的潛在攻擊面有：安全邊界在哪？外部人員將會如何闖入？有什么潛在的方法可以闖入？

NIST的《零信任架構規劃》給出的建議是，建立安全防護需要先從數據和應用程序出發，應先分析價最高、風險最大的數據信息和資產。因為保護面比攻擊面的范圍和邊界要小得多。當在零信任架構中，找不到任何需要保護的邊界時，企業可以在資產周圍設置“微邊界”，通過微邊界，企業用戶可以全面了解和控制，何人在何地、何時，通過何種手段進行了訪問。

因此，企業可以根據業務的重要等級，來確定受保護對象的重要性和優先級。先確定最關鍵的應用程序，再確定次重要的。層層遞減，如此便可實現對所有應用程序的等級保護。

2.提高可見性

CISA在《零信任成熟度模型》中表示，企業在圍繞身份、設備、網絡、應用程序和數據等執行點實施零信任時，實現可見性，即全面了解一切資產如何相互連接是執行上述策略的基礎。

用戶、設備和服務都需要連接到數據中心。如果企業不了解該環境的運作方式，就試圖強制執行零信任，則會使該環境變得更復雜，從而導致安全缺口或工作流程中斷。在保證了可見性之后，企業就可以清晰地了解應采取怎樣的可信執行策略。

3.構建新邊界：微隔離

NIST在《零信任架構》中表示，與傳統防護手段相同，零信任理念保證數據中心安全的前提也是確保網絡環境和周邊環境安全。但差別在于如何在數據中心創建微邊界，零信任要求只有通過審核標準的流量才能通過。

在構建零信任架構時，網段和邊界相比傳統模式會變得更小，微隔離策略應與現有的網絡架構相脫離，并要具備靈活的擴展功能。此外，在部署零信任架構時，允許訪問的列表要基于策略，而不是基于IP地址。這項工作十分繁重，傳統通過人工的方式無法解決，而零信任網絡訪問解決方案則使用機器學習（ML）或人工智能（AI）來了解流量模式和訪問邏輯，以幫助企業創建自動訪問策略。

4.做好身份管理

無論企業選擇部署哪種框架或模型，身份都是零信任安全的基礎，都需要身份來源認證和基于角色的訪問控制等關鍵組件。身份來源不僅要包含用戶的身份，還要包括服務帳戶、應用程序會話、暫時身份和云資產。

零信任要求在提供安全訪問之前先驗證身份，這對于VPN等傳統解決方案是不可能實現的。軟件定義邊界或零信任架構不僅驗證IP地址，還在授予訪問權限之前，根據設備狀態、位置、時間、角色和權限來持續評估安全風險。

此外，隨著數字足跡的大小和形狀發生變化，我們不再擁有數字網絡或數字服務。不過，我們現在擁有不斷擴展的數字生態系統。假設企業在獲得這些新渠道、效率或敏捷性的同時希望保持安全，那就需要采用零信任架構。

零信任模型可確保全面的審計跟蹤，基于身份的零信任會持續監控所有用戶對系統中任何資源的每個訪問請求，無論在本地還是在云端。每當身份（人或機器）試圖訪問資產時，都會根據其在會話期間的行為及其他上下文參數執行風險分析。更加便于合規策略的執行。

5.縮小攻擊面

盡力縮小攻擊面是減少風險暴露、降低安全事件發生的關鍵。在企業內部，零信任理念的微隔離方法在提供了安全連接授權資源的便利的同時，也確保了任何身份未經授權的資產都是不可見、不可訪問的。減少了橫向移動，進一步降低了內部威脅。

此外，也可以在企業外部運用零信任理念，以防范外部網絡威脅和攻擊。比如，移動辦公的員工經常面臨網絡釣魚攻擊。要減少諸如此類的攻擊面，只需做好這幾項工作：主動了解數字足跡、監控通信渠道以尋找攻擊指標，以及迅速應對已識別的威脅（包括打補?。?。