循序渐进!开展零信任建设时应做好的16项准备

安全 应用安全
循序渐进!开展零信任建设时应做好的16项准备

近年来,越来越多的企业准备采用零信任架构来实现更好的安全防护。对于许多企业来说,零信任的建设需要全面改变架构、流程和安全意识,这不是一蹴而就的改变,而是一个循序渐进的过程。

那么,企业应该如何建立高效、安全的零信任体系呢?以下梳理了开展零信任建设时需要做好的16项准备工作。

1. 识别数据资产

公司应考虑的第一步是了解企业目前的数据资产,特别是非结构化数据,以提高数据安全性。只有充分掌握了数据资产情况,并了解数据的类型及存储位置,才可以对如何保护数据做出明智的决定,从而打造高效的零信任环境。如果你不知道自己拥有什么数据或存储在哪里,有效保护数据将无从谈起。

2. 培养零信任企业文化

如果使用零信任安全以后,企业员工的安全意识却没有同步提升,这项技术的应用效果将难以充分发挥。将企业的安全防护与员工安全意识实现挂钩,对于提高零信任应用效率至关重要。公司必须注重培养一种倡导透明、信任和开放沟通的企业文化,辅以持续培训和相应技术手段,才可以有效提升员工的安全意识,全面防御所有攻击面。

3. 改造现有的权限访问

零信任建设早期的一种常见方式就是评估企业目前的安全状况,并让所有员工开始使用最低权限访问。此外,企业要能够对数据进出访问进行控制,并拥有必要的安全工具,比如安全信息和事件管理系统,用于取证分析研究。

4. 评估权限策略

由于零信任需要为用户提供执行工作所需的最低权限,因此其有效实施的基础是对权限进行合理评估,这包括了解现有权限、微调现有权限以满足公司的目标,以及制定访问管理策略。一旦掌握了这些信息,就可以开始选择相应的实现技术。

5.合理规划建设预期

大多数供应商都声称可提供完整的零信任安全解决方案,但事实上没有哪款产品能做到。零信任是一种理念,企业需要明确验证身份、位置、设备运行状况、服务及/或工作负载,旨在出现违规行为时尽量减小影响、划分访问范围。成功的零信任安全项目大都从身份管理、多因子身份验证和最低权限访问等角度入手,逐步建设完善。

6. 确保访问设备的可用性

准备建设零信任的企业需确定哪些已有访问控制设备仍可用、哪些不可用,这样才可以在零信任建设时明确定义访问方法,建立强壮的验证机制,并有效保护允许访问零信任环境的端点。

7. 提前考虑用户体验

安全和用户体验常常相冲突,但是不一定非得这样。在敲定零信任安全流程、制定策略和明确需求之前,考虑用户活动范围变化和体验。推出零信任新模式后,要考虑如何传达体验方面的优势(比如无密码单点登录),而不是一味关注安全方面的优势。

8. 全面了解攻击面

对攻击面的了解是保证零信任持续保护用户、网络和应用程序的前提。首先,企业要列出一份最新的内外应用程序清单和软件材料清单,然后利用这些信息制定一项持续且自动化的应用程序计划。

9. 及时了解业务需求

有效实施零信任模式需从业务需求入手。询问要保护什么资产、为何保护,来确定哪些方面采用零信任技术能更有效提高安全能力,这最终将支持企业的零信任战略。

10. 梳理当前的访问权限

企业建立零信任策略的第一步是,了解员工和服务账户权限的现状。深入审查企业的所有访问权限有助于查明哪里的潜在威胁最大,以便在零信任建设时考虑如何应对。

11. 选择合适的零信任框架

一套定义明确的零信任框架是实现高效零信任的关键要素,这样安全团队可以地轻松将正确的安全控制融入到软件开发流程中,并确保其可以融入到统一的安全管理平台中,云原生环境下尤为如此。在建设过程中,安全团队不应该再需要重新定义零信任,而是应对使用哪些软件控制机制、要遵守哪些约定等了然于胸。

12. 将加密与细粒度访问控制相结合

网络分段和访问控制在零信任应用中都是很常见的。通过端到端加密和访问控制的结合,可以更好地实现零信任数据安全。

13. 确保不影响生产

零信任建设需要能帮助企业提高生产力而不是妨碍生产。当网络安全保护机制影响了员工工作时,就需要企业及时调整策略,在信任员工的同时,赋予员工可以访问完成工作所需的应用程序和数据的适当权限。

14. 了解应用系统的风险

与边界防护的传统策略相比,在构建零信任时企业需明确系统风险概况,并针对具体的应用程序来调整安全方法。基于边界的策略假设任何获准穿越防护都可以访问里面的资源。然而,零信任是确保即使有权在企业内部访问,企业内的每个访问点仍另有安全核查机制。

15. 掌握访问网络的所有设备

掌握访问网络的每个设备是建立零信任环境的最大挑战之一。组织面临的最大风险之一是连接到网络的个人(设备),因为他们通常是网络钓鱼攻击或社会工程攻击的主要目标。零信任环境下疏忽任一个设备,都可能导致安全漏洞被利用。

16. 持续关注零信任技术的发展

迁移到零信任需要慎重规划,尽早定义需要保护的关键资产和基础设施很重要。现有系统和零信任环境需要时间磨合才能共存,且对于大多数企业来说,不会是一次性升级。目前零信任技术仍在快速成长,持续了解零信任技术和解决方案的发展对于长期保护投资很重要。

参考链接:https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792

责任编辑:赵宁宁 来源: 安全牛
相关推荐

2011-05-24 13:47:25

程序员

2019-06-25 09:02:44

加密加密算法密钥

2010-12-28 16:49:05

2011-05-20 10:39:43

oracle

2012-03-01 22:37:02

Linux入门

2009-08-07 03:47:00

2009-08-26 14:25:46

C#消息

2023-03-23 08:49:39

负载均衡服务器

2020-02-19 08:48:04

Java内存模型CPU

2022-04-21 14:03:54

开发API生命周期

2010-12-31 15:28:41

Windows 7

2010-12-28 16:38:16

Windows SerWindows 部署服

2009-10-30 14:43:24

宽带接入网

2024-07-04 08:00:00

2020-07-17 10:37:08

云计算安全IT

2022-03-31 06:23:43

自动化响应网络安全

2018-02-05 15:30:01

MariaDB服务器主从复制

2011-05-25 10:54:05

微软云计算

2020-11-23 11:09:18

大数据教育云计算

2010-01-06 16:40:30

cisco交换机vla
点赞
收藏

51CTO技术栈公众号