通常情况下,企业和机构对零信任的最大误解就是必须全面部署,在系统中的所有内容都集成后才能实现收益,但事实并非如此。阻碍企业实施零信任模型的主要障碍是“技术债”(指为了快速部署技术系统而暂时做出的妥协),IT环境中有太多的“技术债”需要在实施零信任之前解决。
在他们看来,这种安全方法只能应用于新的环境或安全的“绿地”环境——即使是这样组织也犹豫不决,因为他们认为安全会可能阻碍业务敏捷性。
企业在零信任方面犹豫不决的真正原因是缺乏对流程的了解以及上述错误观点的误导。Forrester的零信任框架清晰概述了提供全面零信任战略的七个支柱:
- 数据
- 人员
- 工作负载
- 设备
- 网络
- 自动化和编排
- 可见性和分析
即使在看到上述要素列表之后,企业也可能会因零信任相关联领域过多,“水太深”而感到不知所措——这是典型的“沸腾海洋”问题(指过大且可能无法完成的任务)。
但是,如果公司转而采用更加渐进和敏捷的方法,在此过程中的每个阶段都实现收益呢?这种方法不仅可以定期和可衡量地改善安全状况,而且还有助于在整个过程中集成更多功能。
实施零信任
以下是一个简单的、可重复的六步过程,可以帮助组织采用零信任安全模型。
1. 确定安全优先级
在寻求短期胜利以追求长期目标时,企业应着眼于最能从采用零信任安全模型中受益的单个或一组应用程序。从关键决策者处了解组织的关键应用程序是什么,这将有助于展示整个过程中的投资回报(ROI)。
公司还需要了解这是一个学习过程,因此当更多地了解他们试图保护的内容时,零信任安全模型需要适应他们的方法。采用零信任意味着企业将重新定位通常的访问模式,这可能需要对利益相关者进行梳理和教育。然而,该过程的一部分是理解这些依赖关系并在程序中迎合它们的需求。
一旦公司确定了他们想要保护的内容,他们就可以继续决定首先关注哪个零信任支柱。
2. 选择您最初的零信任支柱
试图解决Forrester零信任模型中的每一个支柱,看起来雄心勃勃,但往往不切实际。企业的总体目标是实现快速且可衡量的业务发展,因此选择解决多个领域可能会适得其反。就像企业在此阶段确定要保护的应用程序时应采取非常集中的方法一样,他们在确定如何处理零信任本身时也应采取类似的态度。
实际上有可供组织使用的工具,例如Forrester的零信任模型评估工具,该工具旨在帮助确定组织在采用零信任方面存在的差距。此类工具告诉用户应关注哪些支柱,例如缩小工作负载保护和不必要的可访问性方面的差距。
3. 制定具体的控制措施
下一阶段是指定要实现的确切控制。一旦在第2步中确定了主要关注点,企业就可以寻找正确的安全控制措施,以便进入零信任流程的下一阶段。因此,在评估发现对应用程序工作负载产生过度网络访问的情况下,建议采用微分段来保护工作负载,并防止其暴露于与横向移动相关的安全风险。
4. 确定您需要的数据
对于零信任流程的下一阶段,企业必须首先确定需要哪些信息才能有效实施控制。他们需要根据数据和可见性来制定能够实现结果的具体政策。
重要的是,零信任的有效实施依赖于对上下文信息的访问来帮助制定政策。对于保护工作负载的微分段,最小元数据所指的是描述数据中心应用程序和环境上下文中的工作负载的元数据。
5. 制定策略
一旦整理了这些数据点,公司就可以为该特定业务流程构建零信任分段策略并对其进行验证。对于此阶段,需要获取三份数据。首先,受保护工作负载的实时流量事件。
接下来,每个工作负载和连接的上下文数据至关重要,包括与工作负载相关的元数据,以及直接源自工作负载的通信过程的详细信息。
最后,业务需要绘制一个应用程序依赖关系图(基于前两条数据),方便应用程序所有者或细分领域的使用者快速可视化特定应用程序的上游和下游依赖关系。可以利用此应用程序依赖关系图构建微分段策略。该策略仅允许连接到应用程序运行所需的那些依赖项,零信任策略采用白名单列表方法,以精确指定您允许的内容,拒绝其他一切默认内容。
6. 验证、实施、监控
一旦策略到位,无论是手动方式还是通过自动化方式,可用的流量和篡改监控使得公司能够持续监控其环境的状态并对任何变化做出反应。在此阶段,您必须了解业务的哪些其他要素可能会受到影响并降低风险。
对于分段(隔离)工作,风险最大的阶段是执行已编写的策略,不允许其他流量进出工作负载。如果策略错误,则有可能导致生产中断。因此,必须控制执行的动作,并有足够的机会进行监控,以便可以快速检测和修复任何问题。这就是策略测试至关重要的地方——它允许企业在应用到最终系统之前,在“测试环境”中设置新流程。
鉴于在对系统造成轻微破坏的情况下尽快启动和运行新流程的重要性,理想情况下,组织不能指望“一口吃个胖子”,希望一次处理多个领域任务而在零信任之旅中实现巨大飞跃是不现实的。
成功完成上述所有六个步骤后,应当返回第一步并重新开始,这次将重点放在不同的领域。通过重复该过程,组织可以逐步扩展其零信任实施并不断改善整体安全状态,最终目标是覆盖整个基础设施。
即使执行了政策,过程也不会就此结束,公司必须持续监控流量,并调查任何异常情况。零信任是一种安全策略,而不是其本身的结果。组织必须持续了解自己在零信任支柱上的成熟度,以便他们能够继续确定哪些支柱需要更多关注,并采取渐进措施来提高成熟度。