那麼,究竟什麼是零信任网路?简单地说,它是一个网路,其运作理念是,由於攻击者可以在网路内外找到,因此不应自动授予任何身份访问许可权。
虽然每个零信任网路都可能有所不同,但零信任的几个关键元件很重要:
多重身份驗證 (MFA)
多重身份驗證 (MFA) 是一项常见的安全功能,在授予访问许可权之前需要多种方式来确认身份。此类确认可能包括安全问题、电子邮件确认、简讯等。
实时监控
实时监控不斷評估網路,以檢測入侵者並限制系統受到損害時可能造成的損害。
當預防措施不起作用時,实时监控對於減輕損害至關重要。它允許網路改善「突破時間」 這是指駭客滲透設備後的時間,以及他或她可以轉移到其他系統和設備的時間。
微分段
當系統被滲透時,零信任的另一個重要方面是微分段。該技术涉及創建網路每個部分的小段。
通过在整个网路中创建多个不同的边界,骇客无法访问已被渗透的小微段之外的网路。
信任区域和审核预设访问控制
作為 TIC 3.0 的一部分,网路可以划分為安全区域或信任区域,以允许使用者在区域内共享数据。这进一步有助於防止入侵者访问其他数据。
当然,只有当所有访问系统和区域的请求都作為预设访问的一部分进行加密和授权时,信任区域才有效。
零信任架构无疑可以提高公司的安全性,但实施安全概念存在一些挑战。以下是一些公司在转向零信任时可能面临的一些问题:
旧版应用
一些基本應用程式(如 HR 系統)對於企業的日常運作是必需的,但通常被排除在零信任安全模型之外。已經到位的舊系統通常無法受到驗證系統的保護。
因此,遗留应用程式可能会在安全系统中形成薄弱环节,并削弱切换到零信任的优势。採用零信任解决方案时,可能需要替换或返工旧应用,这可能会增加过渡成本。
需要高度的承诺
需要定期監視和更新預設控件和辅助功能。這包括當用戶轉到新角色並需要訪問網路的不同部分時。
公司需要全面瞭解所有身份和安全要求,并立即更新更改。更新控制件的任何延迟都可能使敏感数据容易受到第叁方的攻击。
合规性和法规
在需要審計的行业中,如果一些公司無法提供數據,他們可能難以證明合規性。法規在考慮零信任方面進展緩慢,但這應該只是時間問題。
虽然切换到零信任肯定存在一些挑战,但建议任何高度重视安全性的公司进行过渡并确保其数据安全。
现在,您已经确切地了解了什麼是零信任安全,并瞭解了这种强大的数据保护方法的好处,现在是时候瞭解如何实施零信任并避免上述一些挑战了。
让它有条理
在準備實施零信任時,讓所有 C 級高管都參與進來非常重要。這將幫助他們充分告知他們的團隊,並就網路的哪些部分在過渡中應優先考慮展開討論。
向零信任的过渡是一个持续的过程,所有使用者都需要瞭解这一事实。瞭解正在进行的更改可以説明所有使用者快速进行更改,以避免工作流程中断。
彻底评估系统
识别敏感数据和系统,并注意当前基础架构中的安全漏洞。以最有价值的资产為目标,并在零信任架构中為其提供最安全的位置。
绘製出可以找到重要数据的位置,以及哪些使用者需要能够访问这些数据。注意数据和资产的共用方式,并确保实施微分段后的相容性。
隨著公司遷移到雲並整合物聯網,他們也可以切換到零信任。這樣做將為生態系統提供增強的安全級別,甚至可以在傳統技术過渡時覆蓋它們。
啟用无密码和多重身份验证,实现组织范围的简单保护
跨移動、雲端和傳統平臺實現單點登录和訪問控制
在整个滨罢环境中集中控制管理员帐户
以最小的摩擦為正确的使用者提供正确的访问许可权