循序渐进!开展零信任建设时应做好的16项准备
source link: https://netsecurity.51cto.com/article/707802.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
循序渐进!开展零信任建设时应做好的16项准备-51CTO.COM
近年来,越来越多的企业准备采用零信任架构来实现更好的安全防护。对于许多企业来说,零信任的建设需要全面改变架构、流程和安全意识,这不是一蹴而就的改变,而是一个循序渐进的过程。
那么,企业应该如何建立高效、安全的零信任体系呢?以下梳理了开展零信任建设时需要做好的16项准备工作。
1. 识别数据资产
公司应考虑的第一步是了解企业目前的数据资产,特别是非结构化数据,以提高数据安全性。只有充分掌握了数据资产情况,并了解数据的类型及存储位置,才可以对如何保护数据做出明智的决定,从而打造高效的零信任环境。如果你不知道自己拥有什么数据或存储在哪里,有效保护数据将无从谈起。
2. 培养零信任企业文化
如果使用零信任安全以后,企业员工的安全意识却没有同步提升,这项技术的应用效果将难以充分发挥。将企业的安全防护与员工安全意识实现挂钩,对于提高零信任应用效率至关重要。公司必须注重培养一种倡导透明、信任和开放沟通的企业文化,辅以持续培训和相应技术手段,才可以有效提升员工的安全意识,全面防御所有攻击面。
3. 改造现有的权限访问
零信任建设早期的一种常见方式就是评估企业目前的安全状况,并让所有员工开始使用最低权限访问。此外,企业要能够对数据进出访问进行控制,并拥有必要的安全工具,比如安全信息和事件管理系统,用于取证分析研究。
4. 评估权限策略
由于零信任需要为用户提供执行工作所需的最低权限,因此其有效实施的基础是对权限进行合理评估,这包括了解现有权限、微调现有权限以满足公司的目标,以及制定访问管理策略。一旦掌握了这些信息,就可以开始选择相应的实现技术。
5.合理规划建设预期
大多数供应商都声称可提供完整的零信任安全解决方案,但事实上没有哪款产品能做到。零信任是一种理念,企业需要明确验证身份、位置、设备运行状况、服务及/或工作负载,旨在出现违规行为时尽量减小影响、划分访问范围。成功的零信任安全项目大都从身份管理、多因子身份验证和最低权限访问等角度入手,逐步建设完善。
6. 确保访问设备的可用性
准备建设零信任的企业需确定哪些已有访问控制设备仍可用、哪些不可用,这样才可以在零信任建设时明确定义访问方法,建立强壮的验证机制,并有效保护允许访问零信任环境的端点。
7. 提前考虑用户体验
安全和用户体验常常相冲突,但是不一定非得这样。在敲定零信任安全流程、制定策略和明确需求之前,考虑用户活动范围变化和体验。推出零信任新模式后,要考虑如何传达体验方面的优势(比如无密码单点登录),而不是一味关注安全方面的优势。
8. 全面了解攻击面
对攻击面的了解是保证零信任持续保护用户、网络和应用程序的前提。首先,企业要列出一份最新的内外应用程序清单和软件材料清单,然后利用这些信息制定一项持续且自动化的应用程序计划。
9. 及时了解业务需求
有效实施零信任模式需从业务需求入手。询问要保护什么资产、为何保护,来确定哪些方面采用零信任技术能更有效提高安全能力,这最终将支持企业的零信任战略。
10. 梳理当前的访问权限
企业建立零信任策略的第一步是,了解员工和服务账户权限的现状。深入审查企业的所有访问权限有助于查明哪里的潜在威胁最大,以便在零信任建设时考虑如何应对。
11. 选择合适的零信任框架
一套定义明确的零信任框架是实现高效零信任的关键要素,这样安全团队可以地轻松将正确的安全控制融入到软件开发流程中,并确保其可以融入到统一的安全管理平台中,云原生环境下尤为如此。在建设过程中,安全团队不应该再需要重新定义零信任,而是应对使用哪些软件控制机制、要遵守哪些约定等了然于胸。
12. 将加密与细粒度访问控制相结合
网络分段和访问控制在零信任应用中都是很常见的。通过端到端加密和访问控制的结合,可以更好地实现零信任数据安全。
13. 确保不影响生产
零信任建设需要能帮助企业提高生产力而不是妨碍生产。当网络安全保护机制影响了员工工作时,就需要企业及时调整策略,在信任员工的同时,赋予员工可以访问完成工作所需的应用程序和数据的适当权限。
14. 了解应用系统的风险
与边界防护的传统策略相比,在构建零信任时企业需明确系统风险概况,并针对具体的应用程序来调整安全方法。基于边界的策略假设任何获准穿越防护都可以访问里面的资源。然而,零信任是确保即使有权在企业内部访问,企业内的每个访问点仍另有安全核查机制。
15. 掌握访问网络的所有设备
掌握访问网络的每个设备是建立零信任环境的最大挑战之一。组织面临的最大风险之一是连接到网络的个人(设备),因为他们通常是网络钓鱼攻击或社会工程攻击的主要目标。零信任环境下疏忽任一个设备,都可能导致安全漏洞被利用。
16. 持续关注零信任技术的发展
迁移到零信任需要慎重规划,尽早定义需要保护的关键资产和基础设施很重要。现有系统和零信任环境需要时间磨合才能共存,且对于大多数企业来说,不会是一次性升级。目前零信任技术仍在快速成长,持续了解零信任技术和解决方案的发展对于长期保护投资很重要。
参考链接:https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK