零信任的大規(guī)模集成和配置是一項(xiàng)不小的成就，從管理用戶體驗(yàn)到資源約束以及采用所需的文化變革，采用零信任都具有挑戰(zhàn)性。

 

從歷史上看，零信任主要關(guān)注網(wǎng)絡(luò)和身份訪問，隨著時(shí)間的推移，它已成為一種全面的網(wǎng)絡(luò)安全方法，需要對(duì)企業(yè)的IT基礎(chǔ)設(shè)施有更全面的了解。由于“邊界不再重要”，零信任以前拒絕了端點(diǎn)發(fā)揮作用的概念，而那些致力于實(shí)現(xiàn)的人現(xiàn)在認(rèn)為端點(diǎn)是穩(wěn)健的零信任戰(zhàn)略的關(guān)鍵組成部分。

 

雖然每個(gè)企業(yè)都不一樣，但有一些常見的障礙會(huì)減緩采用過程。以下將提供一些克服這些挑戰(zhàn)的技巧。

 

 

大多數(shù)企業(yè)的IT基礎(chǔ)設(shè)施包括兩個(gè)關(guān)鍵組件——網(wǎng)絡(luò)和端點(diǎn)。如果將網(wǎng)絡(luò)視為途徑，那么可以將端點(diǎn)視為網(wǎng)絡(luò)攻擊者的目的地。這些可以包括服務(wù)器、虛擬機(jī)、工作站、臺(tái)式機(jī)、筆記本電腦、平板電腦、移動(dòng)設(shè)備等。他們運(yùn)行多個(gè)應(yīng)用程序，存儲(chǔ)和操作數(shù)據(jù)，連接到其他數(shù)據(jù)源等等。

 

當(dāng)網(wǎng)絡(luò)犯罪分子深入企業(yè)網(wǎng)絡(luò)時(shí)，他們會(huì)努力攻擊和控制這些端點(diǎn)。從那里，他們可以獲得額外的憑證，橫向移動(dòng)，維護(hù)持久性，并最終竊取數(shù)據(jù)。由于這些端點(diǎn)經(jīng)常被使用(并且它們的數(shù)量在不斷增長(zhǎng))，因此保護(hù)它們可能具有挑戰(zhàn)性。層層疊加的錯(cuò)誤配置大約占端點(diǎn)危害的四分之一，很明顯，安全團(tuán)隊(duì)需要一個(gè)更全面的安全框架。

 

以下深入了解這些技巧。雖然這不是一個(gè)全面的列表，但希望它能幫助企業(yè)和其團(tuán)隊(duì)消除端點(diǎn)采用零信任所帶來的一些煩惱。

 

(1)打破信息孤島并盡可能地整合技術(shù)——不支持IT團(tuán)隊(duì)和安全團(tuán)隊(duì)之間深度協(xié)作的組織結(jié)構(gòu)只會(huì)加劇人們對(duì)攻擊面增加的擔(dān)憂，并加劇合規(guī)需求方面的挑戰(zhàn)。為了取得零信任的成功，企業(yè)團(tuán)隊(duì)必須打破信息孤島，并在團(tuán)隊(duì)和解決方案之間共享數(shù)據(jù)。除了獲得零信任的好處之外，整合還可以顯著降低維護(hù)多個(gè)系統(tǒng)的成本，并通過降低單個(gè)任務(wù)的眾多工具的復(fù)雜性和冗余性顯著地提高效率。

 

(2)維護(hù)全面的資產(chǎn)清單，并獲得端點(diǎn)的完全可見性——必須知道如何保護(hù)它。雖然這對(duì)于零信任方法來說似乎沒有必要，因?yàn)榈谝粭l規(guī)則是不信任任何東西，但是了解企業(yè)與個(gè)人設(shè)備管理的內(nèi)容可以使其對(duì)驗(yàn)證端點(diǎn)的可信度進(jìn)行分類。現(xiàn)在，由于復(fù)雜性、缺乏集成、人為因素和成本等方面的挑戰(zhàn)，這可能很困難。但是，通過按需資產(chǎn)發(fā)現(xiàn)和實(shí)時(shí)資產(chǎn)清單，企業(yè)應(yīng)該能夠?qū)崿F(xiàn)全面的可見性，讓其更清楚地了解主動(dòng)管理的端點(diǎn)與應(yīng)該更仔細(xì)審查的設(shè)備。

 

(3)利用自動(dòng)化的基于策略的控制來檢測(cè)和修復(fù)資產(chǎn)類型——使用員工人工管理和執(zhí)行控制依賴于人工監(jiān)督和干預(yù)來檢測(cè)和修復(fù)安全問題。這顯然不再是可持續(xù)的(特別是隨著企業(yè)規(guī)模的擴(kuò)大)，越來越多的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露證明了這一點(diǎn)。由自動(dòng)化驅(qū)動(dòng)的基于策略的規(guī)則可以確保安全控制在所有資產(chǎn)和用戶活動(dòng)中得到一致和統(tǒng)一的應(yīng)用。這還可以消除人工任務(wù)，例如要求最終用戶接受補(bǔ)丁或更新并重新啟動(dòng)其計(jì)算機(jī)。

 

這種自動(dòng)化策略實(shí)施還應(yīng)該有助于推動(dòng)零信任實(shí)現(xiàn)所需的策略實(shí)施或信任評(píng)估引擎。有了可信的基于策略的配置文件，信任評(píng)估引擎就可以“提出”問題并評(píng)估設(shè)備或資產(chǎn)的安全狀態(tài)。例如：它有防火墻嗎?是否安裝了最新批準(zhǔn)的補(bǔ)丁?最近是否安裝了任何未知的應(yīng)用程序，而這些應(yīng)用程序沒有被漏洞掃描程序掃描?

 

 

隨著越來越多的企業(yè)開始實(shí)現(xiàn)零信任，了解與端點(diǎn)安全性相關(guān)的一些關(guān)鍵挑戰(zhàn)至關(guān)重要。它需要思維方式的轉(zhuǎn)變，對(duì)需求的理解，以及一套可以幫助實(shí)現(xiàn)成功框架的工具。

 

調(diào)整零信任原則以滿足企業(yè)的需求將有助于加快其旅程。希望提出的這些建議能對(duì)企業(yè)有所幫助。

 

 

國(guó)內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。