零信任方法的主要目標是從“信任,但驗證”,轉向“驗證,然后信任”。我們不應隱式信任所有實體,而應該持續評估上下文。零信任的次要目標是假設業務環境隨時會遭破壞,并以此為前提逆向設計安全防護方案。通過消除隱式信任,通過基于身份、自適應訪問和綜合分析持續評估用戶和設備置信度,零信任方法可以降低風險并提高業務敏捷性。
各家公司實現零信任的旅程可能并不完全相同,但總的說來可分為以下五個關鍵階段。
階段1:禁止匿名訪問
分類好公司里各用戶角色和訪問級別,盤點清楚所有應用,標識出公司的全部數據資產,然后你就可以著手鞏固身份與訪問管理(包括角色和角色成員資格),推進私有應用發現,并維護獲批SaaS應用與網站類別列表了。此外,還應減少入侵者橫向移動的機會,并隱藏應用,避免應用遭到端口掃描、漏洞探測和特征提取。單點登錄(SSO)和多因素身份驗證(MFA)也應作為強制性要求加以實施。
這一階段的具體工作包括:明確身份信源和與其他身份的潛在聯合,確定什么情況下要求強身份驗證,然后控制哪些用戶能訪問何種應用和服務。此階段還需要構建并維護數據庫,將用戶(員工和第三方)映射至各個應用。公司還必須合理調整應用訪問權限,刪除因角色變更、離職、合同終止等原因而不再需要的過時授權。另外,通過引導所有訪問流經策略執行點來消除直接連接也是必要的操作。
階段2:維護顯式信任模型
深入了解自家應用和身份基礎設施后,你就可以進入構建自適應訪問控制的階段了:評估來自應用、用戶和數據的信號,實現自適應策略為用戶調用遞升式身份驗證或發出警報。
在這一階段,公司需要明確如何確定設備是否在內部進行管理,并為訪問策略(阻止、只讀,或根據不同條件允許特定行為)添加上下文。在高風險情況下(例如刪除所有遠程訪問私有應用的內容)多采用強身份驗證,而在低風險情況下(例如托管設備以只讀權限訪問本地應用)減少強身份驗證的使用。公司還應評估用戶風險,并針對特定應用類型確定用戶類別,同時持續調整策略,反映不斷變化的業務需求。為應用活動中的授權建立信任基線也是公司在這一階段應該完成的事項之一。
階段3:實施隔離,限制影響范圍
延續消除隱式信任的主旨,公司應盡量減少對高風險Web資源的直接訪問,尤其是在用戶同時還與托管應用交互的時候。按需隔離指的是在高風險情況下自動觸發的隔離,能夠限制被黑用戶和危險網站的影響范圍。
在這個階段,公司需在訪問有風險網站或從非托管設備訪問時自動觸發遠程瀏覽器隔離,并考慮將遠程瀏覽器隔離作為CASB反向代理的替代方案,用于處理重寫URL時行為異常的SaaS應用。同時,公司還應監視實時威脅和用戶儀表板,從而檢測出命令與控制(C2)嘗試和異常。
階段4:實現持續數據保護
接下來,我們必須獲悉敏感數據的存儲位置和傳播范圍,監控敏感信息在獲批及未獲批應用和網站上的動向。
公司應確定從托管設備和非托管設備進行數據訪問的總體差異,并添加自適應策略具體細節,實現基于上下文的內容訪問(例如完全訪問、敏感或機密)。可以調用云安全態勢管理來持續評估公有云服務配置,從而保護數據并滿足合規要求。公司還可以考慮采用內聯數據防泄露(DLP)規則和策略來實施數據保護和符合監管規定,也可以定義靜態數據DLP規則和策略,尤其是云存儲對象文件共享權限和支持文件共享與移動的應用到應用集成。此外,除了全面采用和落實最小權限原則,公司還應持續檢查和刪除過多的信任。
階段5:通過實時分析和可視化加以完善
通往零信任的最后一個階段是實時豐富并優化策略。參考用戶趨勢、訪問異常、應用變更和數據敏感度的變化,評估現有策略的效果是否適宜。
在此階段,公司應維持對用戶應用和服務以及相關風險水平的可見性;也可以增強可見性并深入了解云和Web活動,實現對數據和威脅策略的持續監測與調整。此外,公司還可以確定安全和風險管理計劃的主要利益相關者(CISO/CIO、法務、CFO、SecOps等),并將數據進行可視化處理,方便他們理解。創建可共享儀表板來查看不同組件的情況也是個不錯的辦法。
2020年和2021年的新冠肺炎疫情加速了數字化轉型,現代數字業務可不會等待IT部門的許可。同時,現代數字業務越來越依賴通過互聯網交付的應用和數據,而互聯網這個東西,無論你意不意外,它在設計時壓根兒就沒考慮到安全性。很明顯,想要通過簡單有效的風險管理控制來實現輕松便捷的用戶體驗,我們需要的是一種全新的方法。
