零信任已成為整個安全行業(yè)中訪問管理的風向標。雖然安全主管們大體上已經(jīng)接受了這種方法——其基于這樣一種理念，即企業(yè)網(wǎng)絡(luò)內(nèi)外都不應(yīng)信任任何人員或計算實體——但并不是每個企業(yè)都完成了這一轉(zhuǎn)變。

根據(jù)研究機構(gòu)Gartner 2024年的一項調(diào)查，全球63%的企業(yè)在某種程度上實施了零信任策略，然而，其中58%的企業(yè)才剛剛開始踏上這條道路，零信任覆蓋的環(huán)境不足50%。

“大多數(shù)企業(yè)都已制定了相關(guān)策略，”Gartner副總裁分析師兼關(guān)鍵倡議負責人John Watts表示，但Watts指出，許多安全負責人仍在測試相關(guān)技術(shù)，并構(gòu)建必要的架構(gòu)，以克服障礙。

為了幫助你更好地理解這項工作的組成部分、復(fù)雜性和挑戰(zhàn)，安全主管們分享了他們在實現(xiàn)零信任過程中的經(jīng)驗。

讓業(yè)務(wù)接受變革

對于Mary Carmichael而言，零信任的旅程既是改變文化的過程，也是改進企業(yè)安全基礎(chǔ)設(shè)施的過程。

Carmichael兩年前被一家加拿大監(jiān)管機構(gòu)聘為顧問，她很快就發(fā)現(xiàn)了改進該機構(gòu)安全態(tài)勢的必要性，其中包括許多處理敏感數(shù)據(jù)的遠程工作人員，而這些數(shù)據(jù)大多由該機構(gòu)監(jiān)管的實體提供。

Carmichael表示，該機構(gòu)像許多企業(yè)一樣，其安全基礎(chǔ)設(shè)施在很大程度上信任實體(人員、設(shè)備和應(yīng)用程序)，一旦它們進入技術(shù)環(huán)境。

“以前的情況是：一旦登錄到網(wǎng)絡(luò)，就會被信任，但零信任要求全程驗證，這是一個巨大的改變，”Carmichael說，她是Momentum Technology戰(zhàn)略、風險和合規(guī)咨詢部的總監(jiān)，也是專業(yè)治理協(xié)會ISACA新興趨勢工作組的成員。

Carmichael表示，該機構(gòu)具備基本的身份和訪問管理(IAM)能力，但沒有采用多因素認證(MFA)和特權(quán)訪問管理(PAM)——這兩項技術(shù)是零信任架構(gòu)的關(guān)鍵。該機構(gòu)也沒有工具來跟蹤實體在環(huán)境中的移動，因此無法挑戰(zhàn)實體嘗試使用的每個系統(tǒng)的訪問權(quán)限。

Carmichael解釋說，雖然該機構(gòu)曾一度創(chuàng)建了身份，并將它們與適當?shù)脑L問級別相匹配，但出現(xiàn)了“訪問蔓延”，因為沒有進行治理，而且人員離職后，從身份管理系統(tǒng)中刪除他們的信息也會延遲。

但要開始解決該機構(gòu)的安全態(tài)勢問題，Carmichael首先必須為利益相關(guān)者提供一個零信任的共同定義，以及一個進行必要工作的有力理由。只有這樣，她才能向該機構(gòu)傳授實現(xiàn)零信任所需的技術(shù)手段，如網(wǎng)絡(luò)分段、PAM和MFA，以及實現(xiàn)零信任所需的過程變革。

咨詢公司Protiviti負責網(wǎng)絡(luò)戰(zhàn)略實踐的董事總經(jīng)理Nick Puetz表示，Carmichael的經(jīng)歷反映了大多數(shù)企業(yè)的情況，這些企業(yè)在正式采用零信任方法之前，往往已經(jīng)有了零信任的各種組成部分，但它們并沒有協(xié)同工作。使用零信任框架可以有所幫助。

“這是一種將所有部分整合在一起的方法。”他說。

在推動該機構(gòu)沿著零信任的道路前進時，Carmichael面臨的最大障礙是讓業(yè)務(wù)接受變革。

Carmichael說，在零信任框架下，業(yè)務(wù)領(lǐng)導(dǎo)和人力資源部門需要在創(chuàng)建和管理身份以及為每個身份建立適當?shù)脑L問級別方面做大量工作，他們必須承擔起做好這項工作并持續(xù)管理它的責任。

她強調(diào)說，這是一項企業(yè)變革，因此，企業(yè)變革管理和高級別贊助對于成功轉(zhuǎn)向零信任至關(guān)重要。

Carmichael補充道，關(guān)注“風險價值”——即如果黑客訪問了敏感數(shù)據(jù)會發(fā)生什么，以營造推動變革的緊迫感，這有助于在業(yè)務(wù)利益相關(guān)者中獲得對零信任的支持。教育和培訓(xùn)也是如此。

“轉(zhuǎn)向零信任涉及許多不同的群體、過程變革和人員，我認為人們沒有意識到零信任所需變革的程度。”她說。

在可用性和安全性之間取得平衡

當Niel Harper擔任聯(lián)合國項目事務(wù)廳(United Nations Office for Project Services)首席信息安全官時，他面臨著一項艱巨的任務(wù)：確保該企業(yè)8000名用戶的安全，這些用戶遍布全球各地，其中許多人遠離哥本哈根、日內(nèi)瓦和紐約市的辦事處，在野外工作。

為此，Harper在2019年至2022年任職期間，啟動了該企業(yè)的零信任之旅。

與Carmichael一樣，Harper首先檢查了企業(yè)的網(wǎng)絡(luò)、設(shè)備、應(yīng)用程序、工作負載、數(shù)據(jù)和身份，以了解可以在哪里以及應(yīng)該在哪里放置細粒度控制，他還必須根據(jù)業(yè)務(wù)目標和關(guān)鍵資產(chǎn)來確定從隱式信任轉(zhuǎn)向零信任所需的技術(shù)組件和過程變革。

“讓我們定義我們的核心資產(chǎn);這些通常占你數(shù)據(jù)或資產(chǎn)的2%到10%，找出它們并進行分類——關(guān)鍵、高價值、機密、嚴格機密。這會讓你更清楚地了解你想要保護什么，”他說，“然后，看看與你定義的目標最契合的技術(shù)投資，以獲得你想要保護的資產(chǎn)的優(yōu)先集。”

Harper還提前花時間確定了快速見效的領(lǐng)域和零信任可能不可行的領(lǐng)域——比如遺留技術(shù)。

在實施戰(zhàn)略時，Harper采取了循序漸進的方法。

“我認為零信任不太適合大爆炸式的部署，它太具有破壞性了，”他說，并補充說他在旅程早期就召集了用戶小組。

“零信任架構(gòu)會增加額外的摩擦，因為它會不斷驗證人員的訪問權(quán)限、身份、權(quán)限，這種摩擦可能會讓用戶感到沮喪，”他說，“所以我們有焦點小組和跨職能團隊，包括來自業(yè)務(wù)的代表和用戶，這樣我們就可以解釋我們的目標，用戶就可以分享他們的痛點和擔憂，因此，在我們實施控制措施時，仍然可以獲得良好的用戶體驗。你不希望降低用戶的體驗質(zhì)量。你必須始終在可用性和安全性之間取得平衡。”

為了向前推進，Harper的團隊首先在辦公室實施了控制措施，從那些快速見效的領(lǐng)域開始，這包括實施MFA和強制執(zhí)行條件訪問的技術(shù)。

然后，Harper制定了一份路線圖，以解決在他離職后可以繼續(xù)實施的更復(fù)雜問題。

Harper現(xiàn)在是軟件公司Doodle的CISO和全球數(shù)據(jù)保護官，同時也是ISACA董事會副主席，他表示，在推動新公司的零信任模型時，他正在采取類似的方法。

“人員、流程和系統(tǒng)的融合”

2021年的一次黑客攻擊讓OHLA USA及其CIO Srivatsan Raghavan踏上了零信任的旅程。Raghavan解釋說，這一事件表明，過去實施的各項安全措施“綜合起來仍然不足”。

“我們有好幾年都沒有發(fā)生過任何事件，所以我們覺得自己做得對。我不愿稱之為過度自信，但這確實是一種得到驗證的感覺。”Raghavan說。

這次攻擊顛覆了這種驗證，并為該公司提供了一個“做得更好的跳板，因為零信任認為，工具是不夠的，它是人員、流程和系統(tǒng)的融合”。

Raghavan負責安全工作，他和他的團隊從自我檢查開始：“我們必須思考我們每天的運作方式。你把所有這些都擺在桌面上，然后反思。”

他說，這使他意識到，隨著企業(yè)構(gòu)建零信任安全環(huán)境，需要增加更多控制，并打破壁壘。

“我們必須摧毀企業(yè)內(nèi)部的所有這些壁壘，才能讓IT團隊變得更好，并更好地了解整個業(yè)務(wù)。”他說。

為了幫助實現(xiàn)這一點，Raghavan結(jié)合美國國家標準與技術(shù)研究院(NIST)和微軟(Microsoft)的框架，創(chuàng)建了一個框架，他的自定義框架使他的團隊能夠按類別劃分并處理項目，以推進公司的零信任之旅，該框架還幫助他們評估公司在特定領(lǐng)域識別、保護、檢測、響應(yīng)和從潛在入侵和事件中恢復(fù)的能力。

Protiviti董事總經(jīng)理Puetz說，許多企業(yè)出于類似的原因發(fā)現(xiàn)零信任很有價值。“零信任能夠使CISO將戰(zhàn)略分解成小塊，并解釋網(wǎng)絡(luò)安全計劃目前處于什么位置，以及需要去向何方。”他補充說。

Raghavan在使他的零信任計劃成熟方面取得了顯著進展。

例如，他淘汰了廣域網(wǎng)(WAN)，并用基于云的控制措施取而代之，包括始終在線的虛擬專用網(wǎng)絡(luò)(VPN)、移動設(shè)備管理(MDM)解決方案、MFA和條件訪問功能。

他還取消了服務(wù)器管理員和網(wǎng)絡(luò)工程師等職位，他說“我們不再需要這些崗位”，并轉(zhuǎn)變?yōu)楦呒壖夹g(shù)人員和初級技術(shù)人員，以打破壁壘。

“我們不想在職責上劃清界限。我們想反映工作的相互依存關(guān)系。”Raghavan說，他在這一過程中成為了注冊信息安全管理人員(CISM)。

Raghavan表示，零信任理念使他的公司——一家倡導(dǎo)“始終思考安全”的大型建筑公司——走上了一條更安全的道路，因為該公司正在采用更多的自動化和AI技術(shù)。

“零信任將使管理安全和實現(xiàn)更細粒度的控制變得更容易，零信任就是要盡可能細粒度地管理IT。”他補充道。“那就是我們的戰(zhàn)略方向，審視每一個業(yè)務(wù)流程，尋找缺陷和漏洞，然后找到通過應(yīng)用零信任原則來加強我們業(yè)務(wù)運營的方式。”