身份是零信任的基础构建块。以下是如何以身份为中心构建您的零信任策略。
现代企业正受到攻击。这就引出了一个问题,即您的业务何时会被破坏,而不是是否会被破坏。网络安全围绕需要保护免受外部威胁的本地应用程序的日子已经一去不复返了。员工和承包商在您的网络或建筑物中访问他们所需的一切的时代已经结束。
网络安全现状
随着不断发展的数字化转型工作、远程和混合工作环境以及不断发展的云优先基础设施,组织正在改变他们的业务方式;仅仅依靠网络边界已经不够了。组织(公共和私人)需要随时随地从任何设备、服务或应用程序提供访问以支持业务。
作为回应,联邦政府为联邦机构制定了一项战略,为私营部门公司提供可操作的指导。该承诺提出了 零信任架构 (ZTA),要求政府机构满足特定的网络安全标准和目标,以加强政府对日益复杂和持续的威胁活动的防御。拜登政府关于改善国家网络安全的 行政命令和 行政备忘录是进一步尝试改进应对网络威胁的最佳做法。
显然,领导者需要比以往任何时候都更加警惕他们的防御,实施零信任战略是一个很好的起点。然而,凭借其引人注目的魅力和灵丹妙药的定位,零信任的承诺和实践经常被误解。那么,我们如何才能消除噪音并开始实现它的价值呢?我们可以从设定期望开始。
零信任解释
正如美国国家标准与技术研究院(NIST) 所定义的那样,“零信任是一种安全范式,它根据适应风险优化组织安全态势。” 信任本质上不是给予的——它必须通过给定的审查过程来获得。
但零信任不仅仅是改变安全范式,而是挑战商业文化。现在必须通过足够及时的访问来缓和始终在线访问,以帮助减少内部威胁和黑客搜索特权帐户。“从不信任,始终验证”的架构更适合延迟甚至防止全面数据泄露。如果没有强大的身份治理计划,这是不可能的。
Gartner 指出,“拥有强大的身份访问基础是成功的关键先决条件。” 事实上,国家网络安全卓越中心更进一步,并指出“增强的身份治理被视为零信任架构的基础组成部分。” 专家和分析师一致认为,身份是成功推出零信任的基础。原因如下:
为什么身份至关重要
身份通过确保正确的员工和承包商可以访问正确的应用程序和系统来执行他们的工作,从而充当最佳工作流程和安全性之间的结缔组织。薄弱的身份策略可能会导致数据泄露、劳动密集型实践以及可能需要数月才能执行的手动审计。这造成了组织无法无人看管的重大安全漏洞。
身份治理允许了解员工和承包商在您的组织内应该拥有哪些访问权限。如果做得好,这可以大规模地快速、高效、一致和准确地自动化安全访问。此外,基于云的身份治理 解决方案可能更有益,通过无缝集成和更短的员工学习曲线带来更快的价值实现时间。
实施成功的身份治理计划的最有效方法之一是通过现有的 IT 服务管理 (ITSM) 系统。好消息是,47% 的知识工作者已经转向 ITSM 来支持他们的部分身份项目。不幸的是,电子邮件(50%)和电子表格(32%)等手动、不安全和容易出错的方法是这里最大的竞争对手(梯度流)。最终,越来越多的组织将资金留在桌面上并增加风险。
对于企业来说,这是一个很好的机会来评估他们当前的技术堆栈并查看身份适合的位置,让位于更具凝聚力的零信任计划。身份在将信任从网络扩展到用户、设备、服务和应用程序级别方面发挥着至关重要的作用。与其将身份治理和安全性视为一个检查框,不如将其用作关键业务功能和实现零信任的工具。
尽管零信任实施面临许多挑战——缺乏理解、不断变化的业务优先级和 IT 资源等等——重要的是要记住这是一场马拉松,而不是冲刺。无需或不建议进行全面的技术大修以启动您的零信任计划。
了解您的 ITSM 平台中可用的功能,开始接管谁有权访问您的组织内的内容及其管理方式,然后从那里开始。改变是艰难的,但扎根的身份计划可以让您在零信任之旅中顺利进行。