智能辦公室的零信任模型:實施指南
圖片來源:https://pixabay.com/images/id-5382501/
隨著企業物聯網被證明是運營優化和員工效率的游戲規則改變者,許多公司選擇進軍物聯網,并將其傳統工作場所升級為智能辦公室。
在確保轉型富有成效和可持續的諸多努力中,針對網絡和系統安全的物聯網測試名列前茅。
零信任是一種安全模型,意味著在驗證之前,默認情況下不應信任來自網絡內部或外部的任何人或設備。它與傳統的“城堡和護城河”方法有很大的不同。
然而,對于一個擁有數百臺未受管理的連網設備的工作場所來說,通常缺乏足夠的內置保護機制,這些保護機制對于防范內部和外部威脅至關重要。更重要的是,這種安全機制可以更好地適應不斷擴展和發展的智能辦公室基礎設施,并減輕在向遠程工作轉移中出現的漏洞。
下面是一個可操作的四步指南,可幫助企業所有者在其支持物聯網的工作場所中實施零信任模型。
第一步、獲得全面的基礎設施可見性
定義明確的保護范圍,即需要保護的設備、數據和軟件的范圍,是零信任體系架構的基石。不幸的是,所謂的影子物聯網或無人監管的連網資產是智能辦公環境的普遍困擾,其中充斥著從暖通空調和監控攝像頭到自動售貨機和廚房電器的各種智能設備。
全面的物聯網設備管理流程可以讓公司獲得所需的對其連網環境的控制級別。首先,它從發現智能辦公室中的每個連網終端開始,并通過記錄設備的類型、IP地址、型號、供應商、設置、安全控制、所有權和其他細節來創建一個統一的清單。
IT專家還應該實時查看網絡的拓撲結構,以及終端如何與外部系統以及彼此之間進行通信。最后但并非最不重要的一點是,為了保持相關性,設備庫存需要在基礎設施發生變化時進行更新。
當擁有完全可見且可控制的物聯網環境,并考慮了每個連網的設備、傳感器和端點以及它們的通信、配置和漏洞時,安全團隊可以采取針對網絡細節和設備漏洞量身定制的保護措施,并簡化設備更新和維護。
第二步、引入訪問控制和身份驗證措施
在傳統的安全體系架構中,受保護范圍內的每個人都被認為是可信的,并且可以不受限制地訪問網絡和設備。零信任模型用“從不信任,始終驗證”原則來挑戰這種籠統的方法,該原則指出每個用戶都有其訪問權限的范圍,并且無論他們的級別有多高,都應該始終確認他們訪問所需資源的憑據。
但是首先,您需要確保適當的人員具有適當的訪問權限。基于角色的訪問控制(RBAC),或授予每個人足夠的設備權限來執行他們的工作任務,被證明是物聯網環境中最可持續的安排。隨著員工的來來往往和晉升,保持RBAC系統的最新狀態以防止安全性受損非常重要。
在實施訪問控制之后,您應該繼續引入適當的用戶身份驗證方法。盡管可以通過多因素身份驗證和密碼(不是現成的憑據)來限制對連網設備和軟件的虛擬訪問,但是在涉及設備的物理安全時,事情變得更加棘手。為了限制進入裝有智能設備的房間,如會議室,您可以在門上安裝智能生物識別鎖。
第三步、分段網絡
零信任架構的另一個關鍵特征是分段環境。在傳統的工作場所中,所有設備都運行在一個單一的網絡中,當連接到互聯網的端點數量較少時,這是一種合理且易于維護的設置。
然而,當辦公場所配備大量智能設備時,清點如此龐大的基礎設施就成了一項繁重的工作,而安全故障被忽視的風險也隨之增加。除此之外,一個未分段的智能辦公室成為一個單一的攻擊面,其中一個漏洞足以破壞整個網絡。
為了保護您的工作場所免受這些風險,IT技術安全團隊需要將單個網絡分成多個獨立的域。將物聯網設備和非物聯網設備分開,并將同一類型的端點分組在一起是一種既定的做法。此外,如果您的公司鼓勵BYOD趨勢或遠程工作,您將需要為非公司設備提供專用網絡。
