身份是零信任的基礎構建塊。以下是如何以身份為中心構建您的零信任策略。

現代企業正受到攻擊。這就引出了一個問題，即您的業務何時會被破壞，而不是是否會被破壞。網絡安全圍繞需要保護免受外部威脅的本地應用程序的日子已經一去不復返了。員工和承包商在您的網絡或建筑物中訪問他們所需的一切的時代已經結束。

網絡安全現狀

隨著不斷發展的數字化轉型工作、遠程和混合工作環境以及不斷發展的云優先基礎設施，組織正在改變他們的業務方式；僅僅依靠網絡邊界已經不夠了。組織（公共和私人）需要隨時隨地從任何設備、服務或應用程序提供訪問以支持業務。

作為回應，聯邦政府為聯邦機構制定了一項戰略，為私營部門公司提供可操作的指導。該承諾提出了 零信任架構 (ZTA)，要求政府機構滿足特定的網絡安全標準和目標，以加強政府對日益復雜和持續的威脅活動的防御。拜登政府關于改善國家網絡安全的 行政命令和 行政備忘錄是進一步嘗試改進應對網絡威脅的最佳做法。

顯然，領導者需要比以往任何時候都更加警惕他們的防御，實施零信任戰略是一個很好的起點。然而，憑借其引人注目的魅力和靈丹妙藥的定位，零信任的承諾和實踐經常被誤解。那么，我們如何才能消除噪音并開始實現它的價值呢？我們可以從設定期望開始。

零信任解釋

正如美國國家標準與技術研究院(NIST) 所定義的那樣，“零信任是一種安全范式，它根據適應風險優化組織安全態勢。” 信任本質上不是給予的——它必須通過給定的審查過程來獲得。

但零信任不僅僅是改變安全范式，而是挑戰商業文化。現在必須通過足夠及時的訪問來緩和始終在線訪問，以幫助減少內部威脅和黑客搜索特權帳戶。“從不信任，始終驗證”的架構更適合延遲甚至防止全面數據泄露。如果沒有強大的身份治理計劃，這是不可能的。

Gartner 指出，“擁有強大的身份訪問基礎是成功的關鍵先決條件。” 事實上，國家網絡安全卓越中心更進一步，并指出“增強的身份治理被視為零信任架構的基礎組成部分。” 專家和分析師一致認為，身份是成功推出零信任的基礎。原因如下：

為什么身份至關重要

身份通過確保正確的員工和承包商可以訪問正確的應用程序和系統來執行他們的工作，從而充當最佳工作流程和安全性之間的結締組織。薄弱的身份策略可能會導致數據泄露、勞動密集型實踐以及可能需要數月才能執行的手動審計。這造成了組織無法無人看管的重大安全漏洞。

身份治理允許了解員工和承包商在您的組織內應該擁有哪些訪問權限。如果做得好，這可以大規模地快速、高效、一致和準確地自動化安全訪問。此外，基于云的身份治理 解決方案可能更有益，通過無縫集成和更短的員工學習曲線帶來更快的價值實現時間。

實施成功的身份治理計劃的最有效方法之一是通過現有的 IT 服務管理 (ITSM) 系統。好消息是，47% 的知識工作者已經轉向 ITSM 來支持他們的部分身份項目。不幸的是，電子郵件（50%）和電子表格（32%）等手動、不安全和容易出錯的方法是這里最大的競爭對手（梯度流）。最終，越來越多的組織將資金留在桌面上并增加風險。

對于企業來說，這是一個很好的機會來評估他們當前的技術堆棧并查看身份適合的位置，讓位于更具凝聚力的零信任計劃。身份在將信任從網絡擴展到用戶、設備、服務和應用程序級別方面發揮著至關重要的作用。與其將身份治理和安全性視為一個檢查框，不如將其用作關鍵業務功能和實現零信任的工具。

盡管零信任實施面臨許多挑戰——缺乏理解、不斷變化的業務優先級和 IT 資源等等——重要的是要記住這是一場馬拉松，而不是沖刺。無需或不建議進行全面的技術大修以啟動您的零信任計劃。

了解您的 ITSM 平臺中可用的功能，開始接管誰有權訪問您的組織內的內容及其管理方式，然后從那里開始。改變是艱難的，但扎根的身份計劃可以讓您在零信任之旅中順利進行。