《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > NSTAC:建設(shè)零信任安全的八個(gè)要點(diǎn)

NSTAC:建設(shè)零信任安全的八個(gè)要點(diǎn)

2022-03-21
來(lái)源:安全牛
關(guān)鍵詞: 零信任安全

  一直以來(lái),政府及相關(guān)企業(yè)組織在開(kāi)展零信任建設(shè)方面存在很多疑問(wèn)和顧慮,,這阻礙了零信任技術(shù)的應(yīng)用落地,。為此,美國(guó)國(guó)家安全電信咨詢委員會(huì)(NSTAC)在2021年底向美國(guó)政府提交了《零信任和可信身份管理報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)。這份報(bào)告詳細(xì)回顧了零信任發(fā)展史,并通過(guò)總結(jié)諸多零信任項(xiàng)目、指引和要求,,梳理了零信任實(shí)施中面臨的關(guān)鍵挑戰(zhàn)和要求,以及企業(yè)組織在開(kāi)展零信任建設(shè)中需要特別關(guān)注的八個(gè)要點(diǎn),。

  要點(diǎn)1:零信任需要長(zhǎng)期的承諾

  《報(bào)告》認(rèn)為,,確認(rèn)零信任是一項(xiàng)變革性的工作,政府和其他組織需要承諾至少十年的投入,。這包括改變行業(yè)和組織政策,,以推動(dòng)零信任文化,并開(kāi)始從根本上重新設(shè)計(jì)組織的技術(shù)系統(tǒng)架構(gòu)?!秷?bào)告》提醒用戶提防那些宣稱可以讓組織一夜之間就能實(shí)現(xiàn)“零信任”的廠商,。

  要點(diǎn)2:使用可靠的零信任指導(dǎo)

  如果想了解零信任,不妨參閱已頒布的指南和出版物,。這包括《NIST 800-207:零信任架構(gòu)》,、美國(guó)國(guó)防部《零信任參考架構(gòu)》、美國(guó)國(guó)家安全局(NSA)的《擁抱零信任安全模型》,、美國(guó)網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施局(CISA) 的《零信任成熟度模型》以及美國(guó)行政管理和預(yù)算局(OMB)的《聯(lián)邦零信任戰(zhàn)略》等,。

  要點(diǎn)3:制定科學(xué)的實(shí)施計(jì)劃

  與其他任何長(zhǎng)期的戰(zhàn)略項(xiàng)目一樣,零信任項(xiàng)目建設(shè)前也需要制定科學(xué)的實(shí)施計(jì)劃,。NSTAC指南列出了零信任實(shí)施的五個(gè)步驟:界定保護(hù)范圍,、映射事務(wù)流、構(gòu)建零信任架構(gòu),、制定零信任策略以及監(jiān)控和維護(hù)網(wǎng)絡(luò),。這既強(qiáng)調(diào)了實(shí)施零信任是耗費(fèi)時(shí)間的迭代過(guò)程,也暗示了零信任能夠輕松獲得的錯(cuò)誤觀點(diǎn),。

  要點(diǎn)4:零信任戰(zhàn)略與合規(guī)要求相一致

  推動(dòng)零信任是一個(gè)繁瑣的過(guò)程,,需要投入資金、時(shí)間和人力,,孤立地實(shí)施零信任只會(huì)增添工作量,。《報(bào)告》強(qiáng)調(diào)需要明確零信任戰(zhàn)略和現(xiàn)有的合規(guī)要求,,并確保兩者相一致,。如果兩者不一致,組織注定會(huì)失敗,。隨著組織開(kāi)始竭力重新設(shè)計(jì)系統(tǒng)和網(wǎng)絡(luò)架構(gòu)以適應(yīng)零信任,,可能需要再次做好合規(guī)和授權(quán)工作,。如果在這種情況下不實(shí)施自動(dòng)化,,組織將被同時(shí)開(kāi)展的兩項(xiàng)工作搞得疲憊不堪。

  要點(diǎn)5:設(shè)立零信任項(xiàng)目辦公室

  《報(bào)告》的另一項(xiàng)重要建議是需要設(shè)立零信任項(xiàng)目辦公室,,并在關(guān)鍵領(lǐng)域盡量使用共享服務(wù),。美國(guó)國(guó)防部最近宣布設(shè)立零信任項(xiàng)目辦公室。NSTAC呼吁聯(lián)邦政府仿而效之,,以專門成立一個(gè)部門來(lái)統(tǒng)管實(shí)施指南,、架構(gòu)和戰(zhàn)略手冊(cè)等。這樣一來(lái),,各政府部門可以借助該辦公室加快實(shí)施各自在零信任方面的獨(dú)立工作,。商業(yè)組織(企業(yè)界),尤其是不同業(yè)務(wù)部門常常各行其是的大企業(yè),可以像政府部門那樣設(shè)立零信任項(xiàng)目辦公室,。

  要點(diǎn)6:使用云服務(wù)以加快采用零信任

  推動(dòng)零信任也離不開(kāi)云服務(wù),,NSTAC表示“更快地采用云服務(wù)將大大加快聯(lián)邦機(jī)構(gòu)采用零信任”,其優(yōu)勢(shì)涉及數(shù)據(jù),、身份和自動(dòng)化等方面,。云采用還可以幫助機(jī)構(gòu)和組織應(yīng)對(duì)遠(yuǎn)程員工隊(duì)伍壯大的情形。

  要點(diǎn)7:有效的身份管理是零信任成功的關(guān)鍵

  《報(bào)告》還強(qiáng)調(diào)了有效的身份管理對(duì)于零信任的重要性,,這包括個(gè)人身份和非個(gè)人實(shí)體身份的管理,。《報(bào)告》強(qiáng)調(diào)了需要這樣的現(xiàn)代身份管理解決方案,,即與組織所處的現(xiàn)代云原生和遠(yuǎn)程員工隊(duì)伍環(huán)境相一致的身份管理方案,,具體可參閱《NIST 800-63-3:數(shù)字身份指南》。

  要點(diǎn)8:針對(duì)某些功能共享安全服務(wù)

  除了需要設(shè)立集中式項(xiàng)目辦公室外,,《報(bào)告》還建議為特定功能(比如可訪問(wèn)互聯(lián)網(wǎng)的資產(chǎn)發(fā)現(xiàn))共享安全服務(wù),。NSTAC《報(bào)告》指出,多種解決方案既導(dǎo)致管理復(fù)雜性,,又使最終用戶在集成和磨合方面面臨挑戰(zhàn),,無(wú)疑會(huì)阻礙零信任的落地。IT/網(wǎng)絡(luò)安全共享服務(wù)可以為機(jī)構(gòu)和組織帶來(lái)諸多好處,,包括成本/許可效率,、增強(qiáng)可見(jiàn)性和提高效率。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。