企業要監控和衡量所有自有資產和相關資產的完整性和安全態勢

在零信任模式中，沒有任何設備或資產是天生受到信任的，每個資源請求都應觸發安全態勢評估。這包括持續監控有權訪問環境的企業資產的狀態、這些資產由企業擁有還是由另一家實體擁有、它們是否有權訪問內部資源，還包括根據從持續監控和報告獲得的洞察力，快速打上補丁、修復漏洞。

回到前面基于會話授予訪問權的例子，可以檢查設備態勢，以確保設備沒有高危漏洞或缺乏重要的安全修正版和補丁。

通過對自有資產和相關資產的完整性和安全態勢進行動態洞察和監控，可以圍繞授予的訪問級別(如果授予的話)來制定策略和決策。

所有的資源驗證和授權都是動態的，在允許訪問之前需嚴格執行

正如前一個例子所討論的，授予訪問權和信任是以一種動態持續的方式進行的。這意味著它是一個持續不斷的周期：掃描設備和資產，使用信號來獲取更深入的洞察力，并在做出信任決策之前加以評估。這是一個持續的動態過程，并不是說用戶創建了擁有相關資源權限的帳戶后就到此為止。這是一個迭代的過程，每個策略執行決策都牽涉眾多的因素

企業要盡可能多的收集關于資產、網絡基礎設施和通信等現狀的信息，并利用這些信息改善安全態勢

技術環境面臨無數威脅，企業必須保持持續監控能力，以確保自己意識到環境中發生的情況。

零信任架構由前面討論的NIST 800-207中提到的這三個核心部分組成：

• PE(策略引擎)
• PA(策略管理員)
• PEP(策略執行點)

圖1. 零信任的幾個核心部分

這些核心部分使用從資產、網絡基礎設施和通信等現狀收集的信息來改善決策，并確保避免批準有關訪問的高風險決策。

零信任是一個旅程

許多企業常犯的一個錯誤是以為零信任就是目的地、能一蹴而就。他們所做的無非是購買正確的工具，然后在自身環境中實現零信任。這不是零信任該有的樣子。當然，工具可以幫助企業實現零信任的一些方面，使企業更接近零信任架構，但工具并非萬靈藥。與IT和網絡安全的大多數領域一樣，零信任由人、流程和技術組成。

正如NSA(美國國家安全局)的出版物《擁抱零信任安全模式》所述，主要建議包括從成熟度的角度來看待零信任，包括初期準備、基礎階段、中級階段和高級成熟階段。

圖2. 零信任成熟度

說了這么多，第一步是準備。明確你所處的現狀、缺口在哪里以及你的架構、實踐和流程與上述的幾條零信任原則如何保持一致，然后制定一項計劃來解決這些問題，最重要的是，要認識到，這需要一定的時間來實現。

作者：Chris Hughes。Chris Hughes在IT/網絡安全行業有近15年的從業經驗，除了在私營部門擔任顧問外，還曾在美國空軍服過役，并在美國海軍和GSA(總務管理局)下設的FedRAMP (聯邦風險和授權管理項目)任職公務員。

原文網址：

https://www.csoonline.com/article/3626432/7-tenets-of-zero-trust-explained.html