“零”信任就是“無”信任,作為代表著“缺乏”的概念,零信任可謂是無處不在了。試水零信任項(xiàng)目的公司遭遇了各種挑戰(zhàn),卻忽視了零信任方法原本的目標(biāo)。零信任方法旨在以持續(xù)自適應(yīng)的顯式信任替換掉廣泛存在于用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)間的隱式信任,有效提升業(yè)務(wù)各環(huán)節(jié)的置信度。
零信任方法的主要目標(biāo)是從“信任,但驗(yàn)證”,轉(zhuǎn)向“驗(yàn)證,然后信任”。我們不應(yīng)隱式信任所有實(shí)體,而應(yīng)該持續(xù)評估上下文。零信任的次要目標(biāo)是假設(shè)業(yè)務(wù)環(huán)境隨時會遭破壞,并以此為前提逆向設(shè)計(jì)安全防護(hù)方案。通過消除隱式信任,通過基于身份、自適應(yīng)訪問和綜合分析持續(xù)評估用戶和設(shè)備置信度,零信任方法可以降低風(fēng)險并提高業(yè)務(wù)敏捷性。
各家公司實(shí)現(xiàn)零信任的旅程可能并不完全相同,但總的說來可分為以下五個關(guān)鍵階段。
階段1:禁止匿名訪問
分類好公司里各用戶角色和訪問級別,盤點(diǎn)清楚所有應(yīng)用,標(biāo)識出公司的全部數(shù)據(jù)資產(chǎn),然后你就可以著手鞏固身份與訪問管理(包括角色和角色成員資格),推進(jìn)私有應(yīng)用發(fā)現(xiàn),并維護(hù)獲批SaaS應(yīng)用與網(wǎng)站類別列表了。此外,還應(yīng)減少入侵者橫向移動的機(jī)會,并隱藏應(yīng)用,避免應(yīng)用遭到端口掃描、漏洞探測和特征提取。單點(diǎn)登錄(SSO)和多因素身份驗(yàn)證(MFA)也應(yīng)作為強(qiáng)制性要求加以實(shí)施。
這一階段的具體工作包括:明確身份信源和與其他身份的潛在聯(lián)合,確定什么情況下要求強(qiáng)身份驗(yàn)證,然后控制哪些用戶能訪問何種應(yīng)用和服務(wù)。此階段還需要構(gòu)建并維護(hù)數(shù)據(jù)庫,將用戶(員工和第三方)映射至各個應(yīng)用。公司還必須合理調(diào)整應(yīng)用訪問權(quán)限,刪除因角色變更、離職、合同終止等原因而不再需要的過時授權(quán)。另外,通過引導(dǎo)所有訪問流經(jīng)策略執(zhí)行點(diǎn)來消除直接連接也是必要的操作。
階段2:維護(hù)顯式信任模型
深入了解自家應(yīng)用和身份基礎(chǔ)設(shè)施后,你就可以進(jìn)入構(gòu)建自適應(yīng)訪問控制的階段了:評估來自應(yīng)用、用戶和數(shù)據(jù)的信號,實(shí)現(xiàn)自適應(yīng)策略為用戶調(diào)用遞升式身份驗(yàn)證或發(fā)出警報(bào)。
在這一階段,公司需要明確如何確定設(shè)備是否在內(nèi)部進(jìn)行管理,并為訪問策略(阻止、只讀,或根據(jù)不同條件允許特定行為)添加上下文。在高風(fēng)險情況下(例如刪除所有遠(yuǎn)程訪問私有應(yīng)用的內(nèi)容)多采用強(qiáng)身份驗(yàn)證,而在低風(fēng)險情況下(例如托管設(shè)備以只讀權(quán)限訪問本地應(yīng)用)減少強(qiáng)身份驗(yàn)證的使用。公司還應(yīng)評估用戶風(fēng)險,并針對特定應(yīng)用類型確定用戶類別,同時持續(xù)調(diào)整策略,反映不斷變化的業(yè)務(wù)需求。為應(yīng)用活動中的授權(quán)建立信任基線也是公司在這一階段應(yīng)該完成的事項(xiàng)之一。
階段3:實(shí)施隔離,限制影響范圍
延續(xù)消除隱式信任的主旨,公司應(yīng)盡量減少對高風(fēng)險Web資源的直接訪問,尤其是在用戶同時還與托管應(yīng)用交互的時候。按需隔離指的是在高風(fēng)險情況下自動觸發(fā)的隔離,能夠限制被黑用戶和危險網(wǎng)站的影響范圍。
在這個階段,公司需在訪問有風(fēng)險網(wǎng)站或從非托管設(shè)備訪問時自動觸發(fā)遠(yuǎn)程瀏覽器隔離,并考慮將遠(yuǎn)程瀏覽器隔離作為CASB反向代理的替代方案,用于處理重寫URL時行為異常的SaaS應(yīng)用。同時,公司還應(yīng)監(jiān)視實(shí)時威脅和用戶儀表板,從而檢測出命令與控制(C2)嘗試和異常。
階段4:實(shí)現(xiàn)持續(xù)數(shù)據(jù)保護(hù)
接下來,我們必須獲悉敏感數(shù)據(jù)的存儲位置和傳播范圍,監(jiān)控敏感信息在獲批及未獲批應(yīng)用和網(wǎng)站上的動向。
公司應(yīng)確定從托管設(shè)備和非托管設(shè)備進(jìn)行數(shù)據(jù)訪問的總體差異,并添加自適應(yīng)策略具體細(xì)節(jié),實(shí)現(xiàn)基于上下文的內(nèi)容訪問(例如完全訪問、敏感或機(jī)密)??梢哉{(diào)用云安全態(tài)勢管理來持續(xù)評估公有云服務(wù)配置,從而保護(hù)數(shù)據(jù)并滿足合規(guī)要求。公司還可以考慮采用內(nèi)聯(lián)數(shù)據(jù)防泄露(DLP)規(guī)則和策略來實(shí)施數(shù)據(jù)保護(hù)和符合監(jiān)管規(guī)定,也可以定義靜態(tài)數(shù)據(jù)DLP規(guī)則和策略,尤其是云存儲對象文件共享權(quán)限和支持文件共享與移動的應(yīng)用到應(yīng)用集成。此外,除了全面采用和落實(shí)最小權(quán)限原則,公司還應(yīng)持續(xù)檢查和刪除過多的信任。
階段5:通過實(shí)時分析和可視化加以完善
通往零信任的最后一個階段是實(shí)時豐富并優(yōu)化策略。參考用戶趨勢、訪問異常、應(yīng)用變更和數(shù)據(jù)敏感度的變化,評估現(xiàn)有策略的效果是否適宜。
在此階段,公司應(yīng)維持對用戶應(yīng)用和服務(wù)以及相關(guān)風(fēng)險水平的可見性;也可以增強(qiáng)可見性并深入了解云和Web活動,實(shí)現(xiàn)對數(shù)據(jù)和威脅策略的持續(xù)監(jiān)測與調(diào)整。此外,公司還可以確定安全和風(fēng)險管理計(jì)劃的主要利益相關(guān)者(CISO/CIO、法務(wù)、CFO、SecOps等),并將數(shù)據(jù)進(jìn)行可視化處理,方便他們理解。創(chuàng)建可共享儀表板來查看不同組件的情況也是個不錯的辦法。
2020年和2021年的新冠肺炎疫情加速了數(shù)字化轉(zhuǎn)型,現(xiàn)代數(shù)字業(yè)務(wù)可不會等待IT部門的許可。同時,現(xiàn)代數(shù)字業(yè)務(wù)越來越依賴通過互聯(lián)網(wǎng)交付的應(yīng)用和數(shù)據(jù),而互聯(lián)網(wǎng)這個東西,無論你意不意外,它在設(shè)計(jì)時壓根兒就沒考慮到安全性。很明顯,想要通過簡單有效的風(fēng)險管理控制來實(shí)現(xiàn)輕松便捷的用戶體驗(yàn),我們需要的是一種全新的方法。