企業可以遵循一個實用的零信任模型來確保數據安全，并從一開始就關注數據訪問。

 

 

零信任是一個安全框架，無論是位于企業內部還是外部的用戶，都需要經過身份驗證、授權和持續驗證，然后才能訪問應用程序和數據。隨著從世界各地的混合工作和遠程工作的興起，用戶通常不會從特定網段訪問數據或應用程序。而且，隨著越來越多的應用程序和數據基于SaaS或不屬于特定網絡邊界，因此需要不同的安全模型。

 

零信任架構具有以下組件：設計和實施零信任安全策略沒有單一的策略，因為不同的企業有不同的目標和優先級，并且在其數據可訪問性旅程中處于不同的成熟度級別。例如，一些企業的策略是強制執行“需要知道”的策略，而另一些企業則正在轉向“需要共享”的安全態勢。

 

 

企業需要考慮將統一的、零信任的數據訪問方法作為其數據保護策略的一部分的原因有很多，無論是在價值還是風險方面。

 

在統一方面，美國國家標準與技術研究院(NIST)零信任架構的功能組件之一是數據安全，其具體定義為“企業為保護其信息而制定的所有數據訪問策略和規則，以及保護靜態和非靜態數據的手段。”

 

由于大多數企業的數據庫、數據倉庫或數據湖中都有敏感數據，因此這些企業都必須在其分布式環境中控制和保護對所有此類敏感數據的訪問。在許多情況下，企業面臨著越來越多的數據用戶(通常被稱為數據民主化的趨勢)，這反過來又帶來了一個巨大的機會——例如產生更多的商業價值，以及由于減少的數據而帶來的額外安全風險控制誰訪問敏感數據以及何時訪問。因此，企業需要有明確和確定性的數據安全和數據訪問策略，以確保數據以安全的方式存儲、處理、訪問、使用和共享。

 

 

無論企業采用何種零信任方法，為了遵循零信任原則，企業都必須持續驗證需要訪問數據的用戶，也就是持續對所有數據源的用戶進行身份驗證、授權。

 

以下詳細地探討這三個維度：

 

(1)連續身份驗證需要在每個用戶每次訪問數據時驗證其身份。身份驗證可以通過多種方式完成，使用數據庫憑據、使用密鑰對身份驗證或通過使用身份提供程序(IdP)(例如Okta或MSFT Active Directory)的單點登錄(SSO)。這是一個共同的現實：所有企業都需要使數據分析師能夠訪問生產中的數據。大多數企業遵循的典型路徑是：(a)提供對數據的持續訪問;(b)讓用戶登錄，這反過來由給定部門內的許多人共享以訪問生產數據。在這種情況下，實際的零信任方法是根據需要提供對數據的臨時訪問。

 

(2)持續授權涉及在用戶通過身份驗證之后驗證用戶可以訪問哪些數據。授權是一項重大挑戰，尤其是在大規模方面。一方面，授權的數據越多，承擔的安全風險就越大。另一方面，企業希望用戶能夠訪問他們需要的所有數據。零信任授權的實用方法是跨平臺整合身份驗證，并根據數據消費者的不同需求實施實時授權。這需要掌握每個用戶可以訪問的不同數據集、實時或近實時訪問請求和授權;通過跨數據存儲撤銷臨時訪問或不再需要的訪問進行管理。

 

(3)持續驗證需要確保不承擔額外風險，并且數據以預期的方式使用。此類驗證的示例包括應用匿名化策略，例如數據屏蔽策略和數據本地化等。從那里起，企業需要尋找方法在所有數據訪問和所有數據平臺上持續應用企業的數據安全策略。對數據訪問策略采用統一的方法不僅可以確保它們的一致執行，而且還可以對任何隱藏的或新的風險進行無縫監控和審計，并對隱私和合規性法規做出適當的響應。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智（www.cioall.com）。同時運營18個IT行業公眾號（微信搜索D1net即可關注）。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。