零信任行业特有的挑战和实施策略

贺阳舒

如今，许多行业组织都在采用零信任安全模式以改善网络安全态势，但这是一个比较艰难的过程。行业专家表示，根据与多家企业的首席信息安全官（CISO）和首席信息官（CIO）合作的经验，实现零信任的道路通常并不像人们想象的那样容易。而为了实现基于零信任的安全性，需要专门的人员和广泛的利益相关者之间达成一致意见，并采用适当的预算。有效迈向零信任模式的唯一方法是迭代进行。

为什么通往零信任的道路如此艰难

业界人士对于零信任已经讨论了很长一段时间，但许多企业尚未实施。要记住的一件事是，零信任不是一种工具，而是一组概念和想法，用于强制执行最低特权访问。

零信任模型为企业提供了一个全局策略，使它具有挑战性，因为企业的部门通常是分散的，不同的部门负责不同的网络安全控制措施。在企业中实现零信任的唯一方法是获得自上而下的支持，然后需要在所有部门之间建立这种协作，企业必须让所有团队和利益相关者在某方面达成一致。

如何在企业中获得对零信任模型的支持和管理

零信任模型必须定位为支持业务，特别是检查自动化技术可以在哪些方面减少摩擦，并实现更敏捷、更高效的业务。如果企业目前没有可用于自动化关键安全功能的技术能力，例如用户生命周期的自动化、配置和其他安全功能，那么需要首先专注于构建这些基础功能，然后才能实施零信任。

基础功能将改善实现零信任所需的安全态势和威胁响应准备。在零信任的情况下，对访问应用程序或数据的任何主体都可以强制执行访问。为了实现真正的零信任，访问决策不仅需要基于主体的肯定标识，还需要基于其他场景信息（例如，主体使用端点的健康状况以及请求发起的网络的健康状况）。动态策略实施需要关于网络和端点的近乎实时的信息，以便为经过身份验证的用户做出访问决策，即使用户拥有适当的授权。

此外，仍然需要身份管理系统来提供粗粒度访问，这将为策略执行点提供授权信息。完全零信任方法需要在网络和端点进行风险评估，以及编排添加策略执行点所需的额外场景。

正如人们所看到的，零信任是如此全面和广泛，以至于企业可能遭受分崩离析，那么从哪里开始？如何在一定的时间和预算内完成如此大的项目？

行业专家所看到的工作是通过迭代过程将其分解为阶段和步骤，并确定快速应用的领域。例如，企业在哪里还存在重大风险，如何将这些风险降到最低？解决这一问题的方法包括分割最敏感的网络和实施身份访问管理，需要逐步实现。当然，所有这些措施都必须对业务和用户透明。

在这一过程中比较领先的企业通常是金融机构和政府授权的企业。

金融公司拥有必须保护的敏感数据，并且（与其他垂直行业的企业相比）拥有更高水平的网络安全成熟度、资源和团队。许多行业组织可能仍然专注于基础知识，而金融机构拥有足够的带宽和资金来继续发展和改进其网络安全计划。

根据美国2021年发布的关于改善国家网络安全的行政命令，政府部门被要求转向零信任模式。现在，企业的每个部门都专注于改变他们对资产、身份以及用户和资产所运行的网络中明确信任的方法。

那么，美国设定2024年的最后期限是否现实？在这个期限之前实施、关键基础设施应该有什么样的要求？

当涉及到实施零信任的时间表以及《运营指令》中规定的2024年机构截止日期时，最大的问题是：资金是否到位？企业是否有成熟的安全计划？具备适当的技能（如云计算、身份认证等）和适当的资源吗？需要改变哪些基础设施，供应链能否满足这些需求？

在过去的几年中，我们已经全面看到了供应链问题，而这在现实和可能的情况下是不容忽视的。在真正的零信任架构中，多个基礎设施将需要与策略执行点共享风险信息，以允许执行实时动态访问策略，这将需要从每个相关基础设施层提取场景信息。

最后，这意味着必须制定标准建立对风险评分的解释，以便不同供应商的解决方案可以共享安全态势和信任相关信息，通过策略执行点做出访问决策。这些分布式风险评估和编排功能将在未来几年内继续成熟和发展。