零信任方法的主要目標是從“信任,但驗證”,轉(zhuǎn)向“驗證,然后信任”。我們不應隱式信任所有實體,而應該持續(xù)評估上下文。零信任的次要目標是假設業(yè)務環(huán)境隨時會遭破壞,并以此為前提逆向設計安全防護方案。通過消除隱式信任,通過基于身份、自適應訪問和綜合分析持續(xù)評估用戶和設備置信度,零信任方法可以降低風險并提高業(yè)務敏捷性。
各家公司實現(xiàn)零信任的旅程可能并不完全相同,但總的說來可分為以下五個關鍵階段。
階段1:禁止匿名訪問
分類好公司里各用戶角色和訪問級別,盤點清楚所有應用,標識出公司的全部數(shù)據(jù)資產(chǎn),然后你就可以著手鞏固身份與訪問管理(包括角色和角色成員資格),推進私有應用發(fā)現(xiàn),并維護獲批SaaS應用與網(wǎng)站類別列表了。此外,還應減少入侵者橫向移動的機會,并隱藏應用,避免應用遭到端口掃描、漏洞探測和特征提取。單點登錄(SSO)和多因素身份驗證(MFA)也應作為強制性要求加以實施。
這一階段的具體工作包括:明確身份信源和與其他身份的潛在聯(lián)合,確定什么情況下要求強身份驗證,然后控制哪些用戶能訪問何種應用和服務。此階段還需要構(gòu)建并維護數(shù)據(jù)庫,將用戶(員工和第三方)映射至各個應用。公司還必須合理調(diào)整應用訪問權限,刪除因角色變更、離職、合同終止等原因而不再需要的過時授權。另外,通過引導所有訪問流經(jīng)策略執(zhí)行點來消除直接連接也是必要的操作。
階段2:維護顯式信任模型
深入了解自家應用和身份基礎設施后,你就可以進入構(gòu)建自適應訪問控制的階段了:評估來自應用、用戶和數(shù)據(jù)的信號,實現(xiàn)自適應策略為用戶調(diào)用遞升式身份驗證或發(fā)出警報。
在這一階段,公司需要明確如何確定設備是否在內(nèi)部進行管理,并為訪問策略(阻止、只讀,或根據(jù)不同條件允許特定行為)添加上下文。在高風險情況下(例如刪除所有遠程訪問私有應用的內(nèi)容)多采用強身份驗證,而在低風險情況下(例如托管設備以只讀權限訪問本地應用)減少強身份驗證的使用。公司還應評估用戶風險,并針對特定應用類型確定用戶類別,同時持續(xù)調(diào)整策略,反映不斷變化的業(yè)務需求。為應用活動中的授權建立信任基線也是公司在這一階段應該完成的事項之一。
階段3:實施隔離,限制影響范圍
延續(xù)消除隱式信任的主旨,公司應盡量減少對高風險Web資源的直接訪問,尤其是在用戶同時還與托管應用交互的時候。按需隔離指的是在高風險情況下自動觸發(fā)的隔離,能夠限制被黑用戶和危險網(wǎng)站的影響范圍。
在這個階段,公司需在訪問有風險網(wǎng)站或從非托管設備訪問時自動觸發(fā)遠程瀏覽器隔離,并考慮將遠程瀏覽器隔離作為CASB反向代理的替代方案,用于處理重寫URL時行為異常的SaaS應用。同時,公司還應監(jiān)視實時威脅和用戶儀表板,從而檢測出命令與控制(C2)嘗試和異常。
階段4:實現(xiàn)持續(xù)數(shù)據(jù)保護
接下來,我們必須獲悉敏感數(shù)據(jù)的存儲位置和傳播范圍,監(jiān)控敏感信息在獲批及未獲批應用和網(wǎng)站上的動向。
公司應確定從托管設備和非托管設備進行數(shù)據(jù)訪問的總體差異,并添加自適應策略具體細節(jié),實現(xiàn)基于上下文的內(nèi)容訪問(例如完全訪問、敏感或機密)。可以調(diào)用云安全態(tài)勢管理來持續(xù)評估公有云服務配置,從而保護數(shù)據(jù)并滿足合規(guī)要求。公司還可以考慮采用內(nèi)聯(lián)數(shù)據(jù)防泄露(DLP)規(guī)則和策略來實施數(shù)據(jù)保護和符合監(jiān)管規(guī)定,也可以定義靜態(tài)數(shù)據(jù)DLP規(guī)則和策略,尤其是云存儲對象文件共享權限和支持文件共享與移動的應用到應用集成。此外,除了全面采用和落實最小權限原則,公司還應持續(xù)檢查和刪除過多的信任。
階段5:通過實時分析和可視化加以完善
通往零信任的最后一個階段是實時豐富并優(yōu)化策略。參考用戶趨勢、訪問異常、應用變更和數(shù)據(jù)敏感度的變化,評估現(xiàn)有策略的效果是否適宜。
在此階段,公司應維持對用戶應用和服務以及相關風險水平的可見性;也可以增強可見性并深入了解云和Web活動,實現(xiàn)對數(shù)據(jù)和威脅策略的持續(xù)監(jiān)測與調(diào)整。此外,公司還可以確定安全和風險管理計劃的主要利益相關者(CISO/CIO、法務、CFO、SecOps等),并將數(shù)據(jù)進行可視化處理,方便他們理解。創(chuàng)建可共享儀表板來查看不同組件的情況也是個不錯的辦法。
2020年和2021年的新冠肺炎疫情加速了數(shù)字化轉(zhuǎn)型,現(xiàn)代數(shù)字業(yè)務可不會等待IT部門的許可。同時,現(xiàn)代數(shù)字業(yè)務越來越依賴通過互聯(lián)網(wǎng)交付的應用和數(shù)據(jù),而互聯(lián)網(wǎng)這個東西,無論你意不意外,它在設計時壓根兒就沒考慮到安全性。很明顯,想要通過簡單有效的風險管理控制來實現(xiàn)輕松便捷的用戶體驗,我們需要的是一種全新的方法。
