近年來，越來越多的企業(yè)準(zhǔn)備采用零信任架構(gòu)來實(shí)現(xiàn)更好的安全防護(hù)。對(duì)于許多企業(yè)來說，零信任的建設(shè)需要全面改變架構(gòu)、流程和安全意識(shí)，這不是一蹴而就的改變，而是一個(gè)循序漸進(jìn)的過程。

那么，企業(yè)應(yīng)該如何建立高效、安全的零信任體系呢?以下梳理了開展零信任建設(shè)時(shí)需要做好的16項(xiàng)準(zhǔn)備工作。

1. 識(shí)別數(shù)據(jù)資產(chǎn)

公司應(yīng)考慮的第一步是了解企業(yè)目前的數(shù)據(jù)資產(chǎn)，特別是非結(jié)構(gòu)化數(shù)據(jù)，以提高數(shù)據(jù)安全性。只有充分掌握了數(shù)據(jù)資產(chǎn)情況，并了解數(shù)據(jù)的類型及存儲(chǔ)位置，才可以對(duì)如何保護(hù)數(shù)據(jù)做出明智的決定，從而打造高效的零信任環(huán)境。如果你不知道自己擁有什么數(shù)據(jù)或存儲(chǔ)在哪里，有效保護(hù)數(shù)據(jù)將無從談起。

2. 培養(yǎng)零信任企業(yè)文化

如果使用零信任安全以后，企業(yè)員工的安全意識(shí)卻沒有同步提升，這項(xiàng)技術(shù)的應(yīng)用效果將難以充分發(fā)揮。將企業(yè)的安全防護(hù)與員工安全意識(shí)實(shí)現(xiàn)掛鉤，對(duì)于提高零信任應(yīng)用效率至關(guān)重要。公司必須注重培養(yǎng)一種倡導(dǎo)透明、信任和開放溝通的企業(yè)文化，輔以持續(xù)培訓(xùn)和相應(yīng)技術(shù)手段，才可以有效提升員工的安全意識(shí)，全面防御所有攻擊面。

3. 改造現(xiàn)有的權(quán)限訪問

零信任建設(shè)早期的一種常見方式就是評(píng)估企業(yè)目前的安全狀況，并讓所有員工開始使用最低權(quán)限訪問。此外，企業(yè)要能夠?qū)?shù)據(jù)進(jìn)出訪問進(jìn)行控制，并擁有必要的安全工具，比如安全信息和事件管理系統(tǒng)，用于取證分析研究。

4. 評(píng)估權(quán)限策略

由于零信任需要為用戶提供執(zhí)行工作所需的最低權(quán)限，因此其有效實(shí)施的基礎(chǔ)是對(duì)權(quán)限進(jìn)行合理評(píng)估，這包括了解現(xiàn)有權(quán)限、微調(diào)現(xiàn)有權(quán)限以滿足公司的目標(biāo)，以及制定訪問管理策略。一旦掌握了這些信息，就可以開始選擇相應(yīng)的實(shí)現(xiàn)技術(shù)。

5.合理規(guī)劃建設(shè)預(yù)期

大多數(shù)供應(yīng)商都聲稱可提供完整的零信任安全解決方案，但事實(shí)上沒有哪款產(chǎn)品能做到。零信任是一種理念，企業(yè)需要明確驗(yàn)證身份、位置、設(shè)備運(yùn)行狀況、服務(wù)及/或工作負(fù)載，旨在出現(xiàn)違規(guī)行為時(shí)盡量減小影響、劃分訪問范圍。成功的零信任安全項(xiàng)目大都從身份管理、多因子身份驗(yàn)證和最低權(quán)限訪問等角度入手，逐步建設(shè)完善。

6. 確保訪問設(shè)備的可用性

準(zhǔn)備建設(shè)零信任的企業(yè)需確定哪些已有訪問控制設(shè)備仍可用、哪些不可用，這樣才可以在零信任建設(shè)時(shí)明確定義訪問方法，建立強(qiáng)壯的驗(yàn)證機(jī)制，并有效保護(hù)允許訪問零信任環(huán)境的端點(diǎn)。

7. 提前考慮用戶體驗(yàn)

安全和用戶體驗(yàn)常常相沖突，但是不一定非得這樣。在敲定零信任安全流程、制定策略和明確需求之前，考慮用戶活動(dòng)范圍變化和體驗(yàn)。推出零信任新模式后，要考慮如何傳達(dá)體驗(yàn)方面的優(yōu)勢(shì)(比如無密碼單點(diǎn)登錄)，而不是一味關(guān)注安全方面的優(yōu)勢(shì)。

8. 全面了解攻擊面

對(duì)攻擊面的了解是保證零信任持續(xù)保護(hù)用戶、網(wǎng)絡(luò)和應(yīng)用程序的前提。首先，企業(yè)要列出一份最新的內(nèi)外應(yīng)用程序清單和軟件材料清單，然后利用這些信息制定一項(xiàng)持續(xù)且自動(dòng)化的應(yīng)用程序計(jì)劃。

9. 及時(shí)了解業(yè)務(wù)需求

有效實(shí)施零信任模式需從業(yè)務(wù)需求入手。詢問要保護(hù)什么資產(chǎn)、為何保護(hù)，來確定哪些方面采用零信任技術(shù)能更有效提高安全能力，這最終將支持企業(yè)的零信任戰(zhàn)略。

10. 梳理當(dāng)前的訪問權(quán)限

企業(yè)建立零信任策略的第一步是，了解員工和服務(wù)賬戶權(quán)限的現(xiàn)狀。深入審查企業(yè)的所有訪問權(quán)限有助于查明哪里的潛在威脅最大，以便在零信任建設(shè)時(shí)考慮如何應(yīng)對(duì)。

11. 選擇合適的零信任框架

一套定義明確的零信任框架是實(shí)現(xiàn)高效零信任的關(guān)鍵要素，這樣安全團(tuán)隊(duì)可以地輕松將正確的安全控制融入到軟件開發(fā)流程中，并確保其可以融入到統(tǒng)一的安全管理平臺(tái)中，云原生環(huán)境下尤為如此。在建設(shè)過程中，安全團(tuán)隊(duì)不應(yīng)該再需要重新定義零信任，而是應(yīng)對(duì)使用哪些軟件控制機(jī)制、要遵守哪些約定等了然于胸。

12. 將加密與細(xì)粒度訪問控制相結(jié)合

網(wǎng)絡(luò)分段和訪問控制在零信任應(yīng)用中都是很常見的。通過端到端加密和訪問控制的結(jié)合，可以更好地實(shí)現(xiàn)零信任數(shù)據(jù)安全。

13. 確保不影響生產(chǎn)

零信任建設(shè)需要能幫助企業(yè)提高生產(chǎn)力而不是妨礙生產(chǎn)。當(dāng)網(wǎng)絡(luò)安全保護(hù)機(jī)制影響了員工工作時(shí)，就需要企業(yè)及時(shí)調(diào)整策略，在信任員工的同時(shí)，賦予員工可以訪問完成工作所需的應(yīng)用程序和數(shù)據(jù)的適當(dāng)權(quán)限。

14. 了解應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)

與邊界防護(hù)的傳統(tǒng)策略相比，在構(gòu)建零信任時(shí)企業(yè)需明確系統(tǒng)風(fēng)險(xiǎn)概況，并針對(duì)具體的應(yīng)用程序來調(diào)整安全方法。基于邊界的策略假設(shè)任何獲準(zhǔn)穿越防護(hù)都可以訪問里面的資源。然而，零信任是確保即使有權(quán)在企業(yè)內(nèi)部訪問，企業(yè)內(nèi)的每個(gè)訪問點(diǎn)仍另有安全核查機(jī)制。

15. 掌握訪問網(wǎng)絡(luò)的所有設(shè)備

掌握訪問網(wǎng)絡(luò)的每個(gè)設(shè)備是建立零信任環(huán)境的最大挑戰(zhàn)之一。組織面臨的最大風(fēng)險(xiǎn)之一是連接到網(wǎng)絡(luò)的個(gè)人(設(shè)備)，因?yàn)樗麄兺ǔＪ蔷W(wǎng)絡(luò)釣魚攻擊或社會(huì)工程攻擊的主要目標(biāo)。零信任環(huán)境下疏忽任一個(gè)設(shè)備，都可能導(dǎo)致安全漏洞被利用。

16. 持續(xù)關(guān)注零信任技術(shù)的發(fā)展

遷移到零信任需要慎重規(guī)劃，盡早定義需要保護(hù)的關(guān)鍵資產(chǎn)和基礎(chǔ)設(shè)施很重要。現(xiàn)有系統(tǒng)和零信任環(huán)境需要時(shí)間磨合才能共存，且對(duì)于大多數(shù)企業(yè)來說，不會(huì)是一次性升級(jí)。目前零信任技術(shù)仍在快速成長(zhǎng)，持續(xù)了解零信任技術(shù)和解決方案的發(fā)展對(duì)于長(zhǎng)期保護(hù)投資很重要。

參考鏈接：https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792