零信任行業特有的挑戰和實施策略

賀陽舒

如今，許多行業組織都在采用零信任安全模式以改善網絡安全態勢，但這是一個比較艱難的過程。行業專家表示，根據與多家企業的首席信息安全官（CISO）和首席信息官（CIO）合作的經驗，實現零信任的道路通常并不像人們想象的那樣容易。而為了實現基于零信任的安全性，需要專門的人員和廣泛的利益相關者之間達成一致意見，并采用適當的預算。有效邁向零信任模式的唯一方法是迭代進行。

為什么通往零信任的道路如此艱難

業界人士對于零信任已經討論了很長一段時間，但許多企業尚未實施。要記住的一件事是，零信任不是一種工具，而是一組概念和想法，用于強制執行最低特權訪問。

零信任模型為企業提供了一個全局策略，使它具有挑戰性，因為企業的部門通常是分散的，不同的部門負責不同的網絡安全控制措施。在企業中實現零信任的唯一方法是獲得自上而下的支持，然后需要在所有部門之間建立這種協作，企業必須讓所有團隊和利益相關者在某方面達成一致。

如何在企業中獲得對零信任模型的支持和管理

零信任模型必須定位為支持業務，特別是檢查自動化技術可以在哪些方面減少摩擦，并實現更敏捷、更高效的業務。如果企業目前沒有可用于自動化關鍵安全功能的技術能力，例如用戶生命周期的自動化、配置和其他安全功能，那么需要首先專注于構建這些基礎功能，然后才能實施零信任。

基礎功能將改善實現零信任所需的安全態勢和威脅響應準備。在零信任的情況下，對訪問應用程序或數據的任何主體都可以強制執行訪問。為了實現真正的零信任，訪問決策不僅需要基于主體的肯定標識，還需要基于其他場景信息（例如，主體使用端點的健康狀況以及請求發起的網絡的健康狀況）。動態策略實施需要關于網絡和端點的近乎實時的信息，以便為經過身份驗證的用戶做出訪問決策，即使用戶擁有適當的授權。

此外，仍然需要身份管理系統來提供粗粒度訪問，這將為策略執行點提供授權信息。完全零信任方法需要在網絡和端點進行風險評估，以及編排添加策略執行點所需的額外場景。

正如人們所看到的，零信任是如此全面和廣泛，以至于企業可能遭受分崩離析，那么從哪里開始？如何在一定的時間和預算內完成如此大的項目？

行業專家所看到的工作是通過迭代過程將其分解為階段和步驟，并確定快速應用的領域。例如，企業在哪里還存在重大風險，如何將這些風險降到最低？解決這一問題的方法包括分割最敏感的網絡和實施身份訪問管理，需要逐步實現。當然，所有這些措施都必須對業務和用戶透明。

在這一過程中比較領先的企業通常是金融機構和政府授權的企業。

金融公司擁有必須保護的敏感數據，并且（與其他垂直行業的企業相比）擁有更高水平的網絡安全成熟度、資源和團隊。許多行業組織可能仍然專注于基礎知識，而金融機構擁有足夠的帶寬和資金來繼續發展和改進其網絡安全計劃。

根據美國2021年發布的關于改善國家網絡安全的行政命令，政府部門被要求轉向零信任模式。現在，企業的每個部門都專注于改變他們對資產、身份以及用戶和資產所運行的網絡中明確信任的方法。

那么，美國設定2024年的最后期限是否現實？在這個期限之前實施、關鍵基礎設施應該有什么樣的要求？

當涉及到實施零信任的時間表以及《運營指令》中規定的2024年機構截止日期時，最大的問題是：資金是否到位？企業是否有成熟的安全計劃？具備適當的技能（如云計算、身份認證等）和適當的資源嗎？需要改變哪些基礎設施，供應鏈能否滿足這些需求？

在過去的幾年中，我們已經全面看到了供應鏈問題，而這在現實和可能的情況下是不容忽視的。在真正的零信任架構中，多個基礎設施將需要與策略執行點共享風險信息，以允許執行實時動態訪問策略，這將需要從每個相關基礎設施層提取場景信息。

最后，這意味著必須制定標準建立對風險評分的解釋，以便不同供應商的解決方案可以共享安全態勢和信任相關信息，通過策略執行點做出訪問決策。這些分布式風險評估和編排功能將在未來幾年內繼續成熟和發展。