零信任架構(gòu)分為身份、設(shè)備,、企業(yè)應(yīng)用,、基礎(chǔ)設(shè)施、數(shù)據(jù),、網(wǎng)絡(luò)等六個(gè)部分,,如下圖,。如果一個(gè)公司的這六個(gè)部分都滿足零信任的要求,那么可以說這個(gè)公司的架構(gòu)是滿足零信任理念的,。
零信任不是單一新技術(shù),,而是集成了很多現(xiàn)有技術(shù)的新架構(gòu)。你的公司可能已經(jīng)擁有了部分零信任元素,。
怎么確定公司已經(jīng)做了什么,,還需要做什么呢?你可以對(duì)比下面這份微軟總結(jié)的自測(cè)表,,看看公司在零信任視角下處于哪個(gè)階段,。
1.身份
(1)內(nèi)部用戶(員工)訪問業(yè)務(wù)系統(tǒng)是否需要進(jìn)行“多因子認(rèn)證”,?
?。?)外部用戶(第三方)訪問業(yè)務(wù)系統(tǒng)是否需要進(jìn)行“多因子認(rèn)證”?
?。?)內(nèi)部用戶是否允許單點(diǎn)登錄,?
(4)外部用戶是否允許單點(diǎn)登錄,?
?。?)身份管理系統(tǒng)部署在云端還是內(nèi)網(wǎng)?
?。?)企業(yè)資源(服務(wù)器,、數(shù)據(jù)庫(kù)、SaaS應(yīng)用,、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)等)是否有專門的安全策略引擎做訪問控制和攔截,?
(7)用戶登錄時(shí),,是否做了賬號(hào)被竊取風(fēng)險(xiǎn)檢測(cè),?
(8)對(duì)用戶的各類風(fēng)險(xiǎn)因素,,是否做了持續(xù)的動(dòng)態(tài)評(píng)估?
?。?)身份和訪問控制系統(tǒng)是否集成了統(tǒng)一安全代理,、日志審計(jì)警報(bào)、終端防護(hù),、設(shè)備管理,、安全策略管理等功能?
?。?0)訪問策略中是否包含如下內(nèi)容——用戶,、設(shè)備,、應(yīng)用、網(wǎng)絡(luò),、位置,、用戶風(fēng)險(xiǎn)等級(jí)、登錄風(fēng)險(xiǎn)等級(jí),?
2.設(shè)備
?。?)身份管理系統(tǒng)中關(guān)聯(lián)了設(shè)備信息?
?。?)內(nèi)部用戶的設(shè)備是否受移動(dòng)設(shè)備管理系統(tǒng)的管控,?
(3)對(duì)受控設(shè)備授予訪問權(quán)限之前,,是否進(jìn)行了配置的合規(guī)性檢測(cè),?
(4)是否考慮到了非受控設(shè)備連接公司資源的場(chǎng)景,?
?。?)外部用戶的設(shè)備是否受移動(dòng)設(shè)備管理系統(tǒng)的管控?
?。?)是否對(duì)所有設(shè)備強(qiáng)制執(zhí)行數(shù)據(jù)防泄密措施,?
(7)是否通過終端威脅檢測(cè)工具進(jìn)行實(shí)時(shí)的設(shè)備風(fēng)險(xiǎn)評(píng)估,?
3.企業(yè)應(yīng)用
?。?)是否做了基于策略的應(yīng)用訪問控制?
?。?)是否對(duì)所有流量進(jìn)行了威脅監(jiān)控,?
(3)內(nèi)網(wǎng)的敏感應(yīng)用和資源是允許通過VPN或?qū)>€訪問,?
?。?)是否存在未經(jīng)批準(zhǔn)擅自運(yùn)行的應(yīng)用?是否在不斷發(fā)現(xiàn),、檢測(cè)這些影子IT的風(fēng)險(xiǎn),?
(5)是否持續(xù)監(jiān)控所有文件的上傳,、下載,?
(6)是否具備根據(jù)用戶風(fēng)險(xiǎn)做細(xì)粒度訪問控制的能力,?(可見性控制,、只讀、阻斷)
?。?)是否只給用戶授予了工作必須的最小權(quán)限,?
4.基礎(chǔ)設(shè)施
?。?)如果有多云或者混合云架構(gòu)的話,是否做了統(tǒng)一的防護(hù)方案,?
?。?)是否對(duì)不同應(yīng)用的流量做了標(biāo)識(shí)和區(qū)分?
?。?)是否隔離了“用戶到服務(wù)器”和“服務(wù)器到服務(wù)器”的訪問,?
(4)安全團(tuán)隊(duì)是否有針對(duì)終端的特殊類型攻擊的檢測(cè)工具,?
?。?)安全團(tuán)隊(duì)是否有多來(lái)源安全事件的統(tǒng)計(jì)分析工具?
?。?)安全團(tuán)隊(duì)是否使用用戶行為分析工具檢測(cè)發(fā)現(xiàn)威脅,?
(7)安全團(tuán)隊(duì)是否使用應(yīng)急響應(yīng)工具減少威脅響應(yīng)的人工成本,?
?。?)是否定期(至少每半年)檢查管理員的管理權(quán)限是否合理?
?。?)是否只授予了管理員管理服務(wù)器及其他基礎(chǔ)設(shè)施的最小權(quán)限,?
5.數(shù)據(jù)
(1)訪問授權(quán)是基于數(shù)據(jù)敏感度的,,而不是簡(jiǎn)單的基于網(wǎng)絡(luò)邊界的,?
(2)企業(yè)是否定義了數(shù)據(jù)分類方法,?
?。?)數(shù)據(jù)訪問的授權(quán)是否受策略控制?是否由云安全策略引擎執(zhí)行,?
?。?)數(shù)據(jù)是否由機(jī)器學(xué)習(xí)模型進(jìn)行分類和標(biāo)記?
?。?)是否持續(xù)去發(fā)現(xiàn)所有數(shù)字資產(chǎn)中的敏感數(shù)據(jù),?
6.網(wǎng)絡(luò)
(1)網(wǎng)絡(luò)是否做了分段,,以防止橫向攻擊,?
(2)是否有防火墻,、DDoS防護(hù)、Web防火墻等網(wǎng)絡(luò)保護(hù)措施,?
?。?)是否建立安全的管理訪問權(quán)限以保護(hù)網(wǎng)段,?
(4)是否使用證書對(duì)所有網(wǎng)絡(luò)通信(包括服務(wù)器對(duì)服務(wù)器)進(jìn)行加密,?
?。?)是否使用了基于機(jī)器學(xué)習(xí)的威脅防護(hù)和基于上下文的安全過濾?
根據(jù)公司架構(gòu)是否滿足上述問題,,可以算出公司在各個(gè)方面的得分,。根據(jù)總得分不同,零信任成熟度模型將企業(yè)實(shí)施零信任的路徑分為三個(gè)階段:
1,、傳統(tǒng)階段:大多數(shù)企業(yè)處于這個(gè)階段,,還未開始零信任建設(shè)。身份認(rèn)證依靠靜態(tài)規(guī)則,,網(wǎng)絡(luò)存在較大風(fēng)險(xiǎn),,設(shè)備、云環(huán)境等不可控,。
2,、高級(jí)階段:剛開始零信任建設(shè),在幾個(gè)關(guān)鍵領(lǐng)域取得了成果,。有多種身份驗(yàn)證手段,,有細(xì)粒度訪問控制,設(shè)備按策略管理,,網(wǎng)絡(luò)做了分段,,開始對(duì)用戶行為和威脅進(jìn)行分析。
3,、最優(yōu)階段:貫徹了零信任理念,,安全方面有很大提升。實(shí)時(shí)分析身份可信級(jí)別,,動(dòng)態(tài)授予訪問權(quán)限,,所有訪問都是加密的、可追蹤的,,網(wǎng)絡(luò)不默認(rèn)授予信任,,自動(dòng)檢測(cè)威脅自動(dòng)響應(yīng)。
改進(jìn)措施
對(duì)照上文的自測(cè)表,,可以找到差距,。要彌補(bǔ)差距,如下技術(shù)是一定要優(yōu)先實(shí)施的,。
1,、強(qiáng)認(rèn)證。確保以強(qiáng)大的多因素身份驗(yàn)證和風(fēng)險(xiǎn)檢測(cè)作為訪問策略的基礎(chǔ),,最大程度地減少身份泄露的風(fēng)險(xiǎn),。
2,、基于策略的自適應(yīng)訪問控制。為企業(yè)資源定義訪問策略,,使用統(tǒng)一的安全策略引擎實(shí)施這些策略,,監(jiān)控并發(fā)現(xiàn)異常。
3,、微隔離,。使用軟件定義的微隔離,從集中式網(wǎng)絡(luò)邊界管理轉(zhuǎn)型為全方位的網(wǎng)絡(luò)隔離管理,。
4,、自動(dòng)化。開發(fā)自動(dòng)警報(bào)和響應(yīng)措施,,減少平均響應(yīng)時(shí)間,。
5、威脅情報(bào)和AI,。綜合各個(gè)來(lái)源的信息,,實(shí)時(shí)檢測(cè)和響應(yīng)異常訪問行為。
6,、數(shù)據(jù)保護(hù),。發(fā)現(xiàn)、分類,、保護(hù)和監(jiān)視敏感數(shù)據(jù),,最大程度地減少惡意的或意外的滲透風(fēng)險(xiǎn)。
總結(jié)
零信任安全模型是當(dāng)下最有效的一種安全架構(gòu),。大多數(shù)企業(yè)都應(yīng)該分階段地,,根據(jù)零信任的成熟度、可用資源和優(yōu)先級(jí)來(lái)逐步建設(shè)零信任安全,。
建設(shè)零信任的道路上,,向前邁出的每一步都是一個(gè)新的高度。