過(guò)去，我們認(rèn)為企業(yè)如同一座被城墻(防火墻)、護(hù)城河(DMZ)和吊橋(訪問(wèn)控制)層層防護(hù)起來(lái)的堅(jiān)固城池，但隨著網(wǎng)絡(luò)攻擊手段的不斷升級(jí)、犯罪販子的日益猖獗、遠(yuǎn)程辦公常態(tài)化所帶來(lái)的攻擊面增大等眾多因素的影響下，零信任理念已經(jīng)逐漸成為解決網(wǎng)絡(luò)安全問(wèn)題的重要推手。

編輯搜圖

iSMG最近發(fā)布的《2022年零信任策略報(bào)告》顯示：絕大多數(shù)受訪者都表示零信任對(duì)于降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)至關(guān)重要;近一半(46%)的受訪者表示零信任是2022年最重要的安全實(shí)踐。

此外，F(xiàn)orrester的另一項(xiàng)面向300余家大型企業(yè)的調(diào)查報(bào)告也顯示：78%的安全高管均計(jì)劃在今年增加對(duì)零信任的使用力度。

盡管零信任是大多數(shù)網(wǎng)絡(luò)安全團(tuán)隊(duì)的首選，但其實(shí)際落地卻不盡樂(lè)觀。在Forrester所調(diào)查的企業(yè)中，能夠全面部署零信任的企業(yè)所占比例僅為6%;另有30%的受訪者表示只是在企業(yè)局部部署了零信任;還有63%的受訪者表示，其企業(yè)內(nèi)部對(duì)零信任項(xiàng)目現(xiàn)仍于評(píng)估、規(guī)劃或試點(diǎn)階段。

2021年5月，美國(guó)政府在改善國(guó)家網(wǎng)絡(luò)安全的行政令中要求政府機(jī)構(gòu)要采用零信任方案，政令發(fā)布后，美國(guó)行政管理和預(yù)算辦公室(英文簡(jiǎn)稱(chēng)：OMB)隨即發(fā)布了如何推進(jìn)零信任架構(gòu)落地的戰(zhàn)略方案，此外，接二連三，CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書(shū)《零信任架構(gòu)規(guī)劃》，其中，《零信任架構(gòu)規(guī)劃》闡述了如何利用網(wǎng)絡(luò)安全框架(CSF)和NIST風(fēng)險(xiǎn)管理框架(RMF，SP800–37)來(lái)助力企業(yè)順利遷移升級(jí)為零信任架構(gòu)。

以下是上述國(guó)外應(yīng)對(duì)零信任架構(gòu)實(shí)際落地的五個(gè)優(yōu)秀實(shí)踐總結(jié)，供讀者了解、參考：

1. 明了需要保護(hù)哪些層面

安全風(fēng)險(xiǎn)評(píng)估應(yīng)從攻擊者角度出發(fā)。例如，企業(yè)安全團(tuán)隊(duì)最常關(guān)注的潛在攻擊面有：

• 安全邊界在哪？

• 外部人員將會(huì)如何闖入？

• 有什么潛在的方法可以闖入？

NIST的《零信任架構(gòu)規(guī)劃》給出的建議是，建立安全防護(hù)需要先從數(shù)據(jù)和應(yīng)用程序出發(fā)，應(yīng)先分析價(jià)最高、風(fēng)險(xiǎn)最大的數(shù)據(jù)信息和資產(chǎn)。因?yàn)楸Ｗo(hù)面比攻擊面的范圍和邊界要小得多。

當(dāng)在零信任架構(gòu)中，找不到任何需要保護(hù)的邊界時(shí)，企業(yè)可以在資產(chǎn)周?chē)O(shè)置“微邊界”，通過(guò)微邊界，企業(yè)用戶(hù)可以全面的了解和控制，何人在何地、何時(shí)，通過(guò)何種手段進(jìn)行了訪問(wèn)。

因此，企業(yè)可以根據(jù)業(yè)務(wù)的重要等級(jí)，來(lái)確定受保護(hù)對(duì)象的重要性和優(yōu)先級(jí)。先確定最關(guān)鍵的應(yīng)用程序，然后再確定次重要的。層層遞減，如此便可實(shí)現(xiàn)對(duì)所有應(yīng)用程序的等級(jí)保護(hù)。

2. 提高可見(jiàn)性

CISA在《零信任成熟度模型》中表示，企業(yè)在圍繞身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)等執(zhí)行點(diǎn)實(shí)施零信任時(shí)，實(shí)現(xiàn)可見(jiàn)性，即全面的了解一切資產(chǎn)如何相互連接是執(zhí)行上述策略的基礎(chǔ)。

用戶(hù)、設(shè)備和服務(wù)都需要連接到數(shù)據(jù)中心。如果企業(yè)不了解該環(huán)境的運(yùn)作方式，就試圖強(qiáng)制執(zhí)行零信任，則會(huì)使該環(huán)境變得更復(fù)雜，從而導(dǎo)致安全缺口或工作流程中斷。在保證了可見(jiàn)性之后，企業(yè)就可以清晰的了解到應(yīng)采取怎樣的可信執(zhí)行策略。

3. 構(gòu)建新邊界：微隔離

NIST在《零信任架構(gòu)》中表示，與傳統(tǒng)防護(hù)手段相同，零信任理念保證數(shù)據(jù)中心安全的前提也是確保網(wǎng)絡(luò)環(huán)境和周邊環(huán)境安全。但差別在于如何在數(shù)據(jù)中心創(chuàng)建“微邊界”(micro-boundary)，零信任要求只有通過(guò)審核標(biāo)準(zhǔn)的流量才能通過(guò)。

因此在構(gòu)建零信任架構(gòu)時(shí)，網(wǎng)段和邊界相比傳統(tǒng)模式會(huì)變得更小。因此，微隔離策略應(yīng)與現(xiàn)有的網(wǎng)絡(luò)架構(gòu)相脫離，并要具被靈活的擴(kuò)展功能。

此外，在部署零信任架構(gòu)時(shí)，允許訪問(wèn)的列表要基于策略，而不是基于IP地址。這項(xiàng)工作十分繁重，傳統(tǒng)通過(guò)人工的方式無(wú)法解決，而零信任網(wǎng)絡(luò)訪問(wèn)解決方案則使用機(jī)器學(xué)習(xí)(ML) 或人工智能(AI)來(lái)了解流量模式和訪問(wèn)邏輯，以幫助企業(yè)創(chuàng)建自動(dòng)訪問(wèn)策略。

4. 做好身份管理

無(wú)論企業(yè)選擇部署哪種框架或模型，身份都是零信任安全的基礎(chǔ)，都需要身份來(lái)源認(rèn)證和基于角色的訪問(wèn)控制等關(guān)鍵組件。身份來(lái)源不僅要包含用戶(hù)的身份，還要包括服務(wù)帳戶(hù)、應(yīng)用程序會(huì)話、暫時(shí)身份和云資產(chǎn)。

零信任要求在提供安全訪問(wèn)之前先驗(yàn)證身份，這對(duì)于VPN等傳統(tǒng)解決方案是不可能實(shí)現(xiàn)的。軟件定義邊界(Software-Defined Perimeter，簡(jiǎn)稱(chēng)“SDP”)或零信任架構(gòu)不僅僅驗(yàn)證IP地址，還在授予訪問(wèn)權(quán)限之前，根據(jù)設(shè)備狀態(tài)、位置、時(shí)間、角色和權(quán)限來(lái)持續(xù)評(píng)估安全風(fēng)險(xiǎn)。

此外，隨著數(shù)字足跡的大小和形狀發(fā)生變化，我們不再擁有“數(shù)字網(wǎng)絡(luò)”或“數(shù)字服務(wù)”。不過(guò)，我們現(xiàn)在擁有不斷擴(kuò)展的“數(shù)字生態(tài)系統(tǒng)”。假設(shè)企業(yè)在獲得這些新渠道、效率或敏捷性的同時(shí)希望保持安全，那就需要采用零信任架構(gòu)。

零信任模型可確保全面的審計(jì)跟蹤，基于身份的零信任會(huì)持續(xù)監(jiān)控所有用戶(hù)對(duì)系統(tǒng)中任何資源的每個(gè)訪問(wèn)請(qǐng)求，無(wú)論在本地還是在云端。每當(dāng)身份(人或機(jī)器)試圖訪問(wèn)資產(chǎn)時(shí)，都會(huì)根據(jù)其在會(huì)話期間的行為及其他上下文參數(shù)執(zhí)行風(fēng)險(xiǎn)分析。更加便于合規(guī)策略的執(zhí)行。

5. 縮小攻擊面

盡力縮小攻擊面是減少風(fēng)險(xiǎn)暴露、降低安全事件發(fā)生的關(guān)鍵。

在企業(yè)內(nèi)部，零信任理念的微隔離方法在提供了安全連接授權(quán)資源的便利的同時(shí)，也確保了任何身份未經(jīng)授權(quán)的資產(chǎn)都是不可見(jiàn)、不可訪問(wèn)的。這減少了橫向移動(dòng)，進(jìn)一步降低了內(nèi)部威脅。

此外，我們也可以在企業(yè)外部運(yùn)用零信任理念，以防范外部網(wǎng)絡(luò)威脅和攻擊。比如，移動(dòng)辦公的員工經(jīng)常面臨網(wǎng)絡(luò)釣魚(yú)攻擊。要減少諸如此類(lèi)的攻擊面，我們只需做好這幾項(xiàng)工作：主動(dòng)了解數(shù)字足跡(如上所述)、監(jiān)控通訊渠道以尋找攻擊指標(biāo)(最好結(jié)合威脅情報(bào))，以及迅速應(yīng)對(duì)已識(shí)別的威脅(包括打補(bǔ)丁)。