介紹
為了從零信任中獲益,需要了解架構(gòu)的每個(gè)組件,包括組織的用戶、設(shè)備以及他們正在訪問(wèn)的服務(wù)和數(shù)據(jù)。
正確理解組織的資產(chǎn)很可能涉及資產(chǎn)發(fā)現(xiàn)階段,這是零信任之旅的第一步。在某些環(huán)境中,可能具有挑戰(zhàn)性,并且可能涉及使用自動(dòng)化工具來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn)。在其他情況下,可以通過(guò)遵循非技術(shù)程序(例如查詢采購(gòu)記錄)來(lái)確定組織的資產(chǎn)。
了解環(huán)境中存儲(chǔ)了哪些數(shù)據(jù)、其位置和敏感性也很重要。了解數(shù)據(jù)及其相關(guān)敏感性將有助于制定有效且適當(dāng)?shù)脑L問(wèn)策略。
過(guò)渡到零信任
無(wú)論是從具有許多預(yù)先存在的服務(wù)的已建立系統(tǒng)過(guò)渡到零信任架構(gòu),還是開(kāi)始全新的架構(gòu)部署,資產(chǎn)發(fā)現(xiàn)都同樣重要。
如果在不考慮現(xiàn)有服務(wù)的情況下實(shí)施零信任架構(gòu),可能面臨更高的風(fēng)險(xiǎn)。這些服務(wù)可能不是為敵對(duì)的、不受信任的網(wǎng)絡(luò)設(shè)計(jì)的,因此將無(wú)法保護(hù)自己免受攻擊。
進(jìn)行風(fēng)險(xiǎn)評(píng)估
一旦了解了組織的架構(gòu),就可以更好地確定新目標(biāo)架構(gòu)的風(fēng)險(xiǎn)并確保它們得到緩解。
在資產(chǎn)發(fā)現(xiàn)階段之后開(kāi)始進(jìn)行風(fēng)險(xiǎn)評(píng)估是明智的,包括對(duì)零信任方法進(jìn)行威脅建模。此評(píng)估可用于幫助組織了解正在考慮的零信任組件是否會(huì)減輕-防范所有風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)緩解的程度可能取決于資產(chǎn)的重要性和風(fēng)險(xiǎn)偏好。因此,必須評(píng)估資產(chǎn)的重要性并為其提供適當(dāng)?shù)谋Wo(hù)措施。
如果使用零信任方法無(wú)法緩解所有風(fēng)險(xiǎn),則需要保留當(dāng)前網(wǎng)絡(luò)架構(gòu)中的現(xiàn)有安全控制。
