评估当前的零信任成熟度
组织机构必须了解其零信任架构的当前成熟度水平,调研整个组织机构范围,进行彻底和有效的分析。该分析应涉及到目前与零信任所有模块相关的人员、流程和技术。虽然CISA联邦零信任战略^5 文件主要服务于联邦机构,但也可作为一个指南文件帮助理解对成功实施零信任架构至关重要的流程和技术。美国国家标准与技术研究院(NIST)和行业领导者^6 (如ACT-IAC^7 和Forrester^8 )正在定义概念模型和框架并不断改进;然而,应当指出,目前这些框架还没有结合在一起。CISA发布了零信任成熟度模型ZT CMM^9 ,由以下模块组成:身份、设备、网络、应用程序工作负载和数据。这五大模块共同组成了一个整体方案,指导了一个组织机构如何将资源用于开发零信任架构。
零信任架构成熟度模型ZTA-CMM提供了每个模块成熟度级别的洞察(如图 2所示)。深入了解每个领域有助于组织机构负责人了解环境中采用零信任架构方面的独特优势和差距。目前,组织机构并没有赋予一个普适的零信任成熟度模型执行零信任架构评估,这是行业指南中的一个空白,因此整个行业需要增强关于零信任成熟度ZTA-CMM的排名和评级合作。在此过渡期,个别组织可能会先执行初步评估,这些初步评估的结果将成为该组织的基线评估。
制定零信任路线图
随着组织机构对其零信任架构成熟度级别的当前状态有更多的了解,可以确定其所在级别并将新的解决方案纳入其架构,缩小差距并提高成熟度。例如,DHSCISA ZT CMM(DHS CISA)使用三个级别:传统、高级和最优
为了达到理想的零信任架构成熟度,组织需要评估自己当前的成熟度,并根据评估结果确认要优先建设的领域、需要的资源以及在一段时间内达到目标所需的预算。
相较于在安全和IT现代化建设处于起步阶段的组织,ZTA成熟度在已经实现了较好零信任的环境下更具相关性。为了满足ZTA路线图的要求,负责人需要更好地理解不断发展的前沿技术,这些技术为达到目标成熟度提供了先进的方式。首先,完成对组织零信任成熟度五大模块能力的评估。对于每个模块可以制定几个问题,以便负责人全面评估每个重点领域的成熟度水平。这些问题按照难度和范围递增,从而使零信任在该模块中更为成熟。完成调查问卷后,组织机构可以利用量化结果作为组织当前零信任架构ZTA成熟度的评估基线。组织架构的的当前成熟度水平和组织预期的成熟度水平目标可以按照量化规则图展现,量化规则图类似CMMC^10 建议的蜘蛛图表示方法 。
这种方法产生了一个零信任ZT的投资优先级路线图,如图 5 所示。投资优先级路线图应结合应用行业最佳实践和框架,如NIST特别出版物(SP) 800 系列,CSA云控制矩阵(Cloud Controls Matrix ,CCM), 或政府安全技术实施指南(Government Security Technical Implementation Guides, STIG)。这些最佳实践和框架适用于每个模块,有助于指导组织机构了解其当前状态中缺乏的详细流程和技术需求,以便在一到三年内达到预期的成熟度水平。这种方法只是一个示例,每个组织机构都可以根据自身情况量身定做。未来的工作组和组织可能会制定一套标准的规范性问题和图形描述采用ZTA零信任架构的整体能力成熟度水平。
采用零信任的考量因素
除了考量零信任成熟评估和路线图因素外,技术、组织文化、策略和监管要求这四个因素是建设零信任架构(ZTA)的重要考量因素。这些内外部因素影响一个组织机构在当前复杂和混合的环境中理解、设计及实施零信任架构的能力,帮助负责人确定哪些变量是当前零信任架构成熟度水平的关键障碍或加速因素,哪些变量最有助于推进其零信任架构之旅。
采用零信任架构的关键步骤之一是形成人员、流程技术、关键资产及安全控制措施清单。这是成功采用该架构的关键。NIST建议从单个流程入手不断推进架构部署。
组织机构应以 “速赢”为目标,并理解采用零信任架构是一项长期的、战略级的举措。因此,零信任需要管理层的支持,并在三到五年内持续考虑所有相关因素。能力成熟度模型可以引导组织机构了解现有及传统的能力,同时提出适当的问题并寻求答案。例如,问题可以包含:
1 .组织使用的传统技术是什么?
2 .它们使用什么类型的数据和服务?
3 .具体实施了哪些云服务?
4 .是否已经实施了云访问安全代理的解决方案?
5 .如何管理身份以及实施了哪些工具?
6 .组织机构处于云应用的哪个阶段?
然而,问题应当结合组织机构的特定业务和使命量身定制。每个问题应当解决与技术状态、组织文化、运营策略、运营所处的监管环境及组织所面临的云安全架构相关的组织业务愿景。对联邦机构而言,这部分内容在CISA的云安全技术参考架构中有详细说明 。
扫一扫
6827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
