零信任方法的主要目標(biāo)是從“信任,但驗(yàn)證”,轉(zhuǎn)向“驗(yàn)證,然后信任”。我們不應(yīng)隱式信任所有實(shí)體,而應(yīng)該持續(xù)評(píng)估上下文。零信任的次要目標(biāo)是假設(shè)業(yè)務(wù)環(huán)境隨時(shí)會(huì)遭破壞,并以此為前提逆向設(shè)計(jì)安全防護(hù)方案。通過(guò)消除隱式信任,通過(guò)基于身份、自適應(yīng)訪問(wèn)和綜合分析持續(xù)評(píng)估用戶和設(shè)備置信度,零信任方法可以降低風(fēng)險(xiǎn)并提高業(yè)務(wù)敏捷性。
各家公司實(shí)現(xiàn)零信任的旅程可能并不完全相同,但總的說(shuō)來(lái)可分為以下五個(gè)關(guān)鍵階段。
階段1:禁止匿名訪問(wèn)
分類好公司里各用戶角色和訪問(wèn)級(jí)別,盤點(diǎn)清楚所有應(yīng)用,標(biāo)識(shí)出公司的全部數(shù)據(jù)資產(chǎn),然后你就可以著手鞏固身份與訪問(wèn)管理(包括角色和角色成員資格),推進(jìn)私有應(yīng)用發(fā)現(xiàn),并維護(hù)獲批SaaS應(yīng)用與網(wǎng)站類別列表了。此外,還應(yīng)減少入侵者橫向移動(dòng)的機(jī)會(huì),并隱藏應(yīng)用,避免應(yīng)用遭到端口掃描、漏洞探測(cè)和特征提取。單點(diǎn)登錄(SSO)和多因素身份驗(yàn)證(MFA)也應(yīng)作為強(qiáng)制性要求加以實(shí)施。
這一階段的具體工作包括:明確身份信源和與其他身份的潛在聯(lián)合,確定什么情況下要求強(qiáng)身份驗(yàn)證,然后控制哪些用戶能訪問(wèn)何種應(yīng)用和服務(wù)。此階段還需要構(gòu)建并維護(hù)數(shù)據(jù)庫(kù),將用戶(員工和第三方)映射至各個(gè)應(yīng)用。公司還必須合理調(diào)整應(yīng)用訪問(wèn)權(quán)限,刪除因角色變更、離職、合同終止等原因而不再需要的過(guò)時(shí)授權(quán)。另外,通過(guò)引導(dǎo)所有訪問(wèn)流經(jīng)策略執(zhí)行點(diǎn)來(lái)消除直接連接也是必要的操作。
階段2:維護(hù)顯式信任模型
深入了解自家應(yīng)用和身份基礎(chǔ)設(shè)施后,你就可以進(jìn)入構(gòu)建自適應(yīng)訪問(wèn)控制的階段了:評(píng)估來(lái)自應(yīng)用、用戶和數(shù)據(jù)的信號(hào),實(shí)現(xiàn)自適應(yīng)策略為用戶調(diào)用遞升式身份驗(yàn)證或發(fā)出警報(bào)。
在這一階段,公司需要明確如何確定設(shè)備是否在內(nèi)部進(jìn)行管理,并為訪問(wèn)策略(阻止、只讀,或根據(jù)不同條件允許特定行為)添加上下文。在高風(fēng)險(xiǎn)情況下(例如刪除所有遠(yuǎn)程訪問(wèn)私有應(yīng)用的內(nèi)容)多采用強(qiáng)身份驗(yàn)證,而在低風(fēng)險(xiǎn)情況下(例如托管設(shè)備以只讀權(quán)限訪問(wèn)本地應(yīng)用)減少?gòu)?qiáng)身份驗(yàn)證的使用。公司還應(yīng)評(píng)估用戶風(fēng)險(xiǎn),并針對(duì)特定應(yīng)用類型確定用戶類別,同時(shí)持續(xù)調(diào)整策略,反映不斷變化的業(yè)務(wù)需求。為應(yīng)用活動(dòng)中的授權(quán)建立信任基線也是公司在這一階段應(yīng)該完成的事項(xiàng)之一。
階段3:實(shí)施隔離,限制影響范圍
延續(xù)消除隱式信任的主旨,公司應(yīng)盡量減少對(duì)高風(fēng)險(xiǎn)Web資源的直接訪問(wèn),尤其是在用戶同時(shí)還與托管應(yīng)用交互的時(shí)候。按需隔離指的是在高風(fēng)險(xiǎn)情況下自動(dòng)觸發(fā)的隔離,能夠限制被黑用戶和危險(xiǎn)網(wǎng)站的影響范圍。
在這個(gè)階段,公司需在訪問(wèn)有風(fēng)險(xiǎn)網(wǎng)站或從非托管設(shè)備訪問(wèn)時(shí)自動(dòng)觸發(fā)遠(yuǎn)程瀏覽器隔離,并考慮將遠(yuǎn)程瀏覽器隔離作為CASB反向代理的替代方案,用于處理重寫URL時(shí)行為異常的SaaS應(yīng)用。同時(shí),公司還應(yīng)監(jiān)視實(shí)時(shí)威脅和用戶儀表板,從而檢測(cè)出命令與控制(C2)嘗試和異常。
階段4:實(shí)現(xiàn)持續(xù)數(shù)據(jù)保護(hù)
接下來(lái),我們必須獲悉敏感數(shù)據(jù)的存儲(chǔ)位置和傳播范圍,監(jiān)控敏感信息在獲批及未獲批應(yīng)用和網(wǎng)站上的動(dòng)向。
公司應(yīng)確定從托管設(shè)備和非托管設(shè)備進(jìn)行數(shù)據(jù)訪問(wèn)的總體差異,并添加自適應(yīng)策略具體細(xì)節(jié),實(shí)現(xiàn)基于上下文的內(nèi)容訪問(wèn)(例如完全訪問(wèn)、敏感或機(jī)密)。可以調(diào)用云安全態(tài)勢(shì)管理來(lái)持續(xù)評(píng)估公有云服務(wù)配置,從而保護(hù)數(shù)據(jù)并滿足合規(guī)要求。公司還可以考慮采用內(nèi)聯(lián)數(shù)據(jù)防泄露(DLP)規(guī)則和策略來(lái)實(shí)施數(shù)據(jù)保護(hù)和符合監(jiān)管規(guī)定,也可以定義靜態(tài)數(shù)據(jù)DLP規(guī)則和策略,尤其是云存儲(chǔ)對(duì)象文件共享權(quán)限和支持文件共享與移動(dòng)的應(yīng)用到應(yīng)用集成。此外,除了全面采用和落實(shí)最小權(quán)限原則,公司還應(yīng)持續(xù)檢查和刪除過(guò)多的信任。
階段5:通過(guò)實(shí)時(shí)分析和可視化加以完善
通往零信任的最后一個(gè)階段是實(shí)時(shí)豐富并優(yōu)化策略。參考用戶趨勢(shì)、訪問(wèn)異常、應(yīng)用變更和數(shù)據(jù)敏感度的變化,評(píng)估現(xiàn)有策略的效果是否適宜。
在此階段,公司應(yīng)維持對(duì)用戶應(yīng)用和服務(wù)以及相關(guān)風(fēng)險(xiǎn)水平的可見性;也可以增強(qiáng)可見性并深入了解云和Web活動(dòng),實(shí)現(xiàn)對(duì)數(shù)據(jù)和威脅策略的持續(xù)監(jiān)測(cè)與調(diào)整。此外,公司還可以確定安全和風(fēng)險(xiǎn)管理計(jì)劃的主要利益相關(guān)者(CISO/CIO、法務(wù)、CFO、SecOps等),并將數(shù)據(jù)進(jìn)行可視化處理,方便他們理解。創(chuàng)建可共享儀表板來(lái)查看不同組件的情況也是個(gè)不錯(cuò)的辦法。
2020年和2021年的新冠肺炎疫情加速了數(shù)字化轉(zhuǎn)型,現(xiàn)代數(shù)字業(yè)務(wù)可不會(huì)等待IT部門的許可。同時(shí),現(xiàn)代數(shù)字業(yè)務(wù)越來(lái)越依賴通過(guò)互聯(lián)網(wǎng)交付的應(yīng)用和數(shù)據(jù),而互聯(lián)網(wǎng)這個(gè)東西,無(wú)論你意不意外,它在設(shè)計(jì)時(shí)壓根兒就沒考慮到安全性。很明顯,想要通過(guò)簡(jiǎn)單有效的風(fēng)險(xiǎn)管理控制來(lái)實(shí)現(xiàn)輕松便捷的用戶體驗(yàn),我們需要的是一種全新的方法。
