采用零信任的考量因素
除了考量零信任成熟评估和路线图因素外,技术、组织文化、策略和监管要求这四个因素是建设零信任架构(ZTA)的重要考量因素。这些内外部因素影响一个组织机构在当前复杂和混合的环境中理解、设计及实施零信任架构的能力,帮助负责人确定哪些变量是当前零信任架构成熟度水平的关键障碍或加速因素,哪些变量最有助于推进其零信任架构之旅。
采用零信任架构的关键步骤之一是形成人员、流程技术、关键资产及安全控制措施清单。这是成功采用该架构的关键。NIST建议从单个流程入手不断推进架构部署。
组织机构应以 “速赢”为目标,并理解采用零信任架构是一项长期的、战略级的举措。因此,零信任需要管理层的支持,并在三到五年内持续考虑所有相关因素。能力成熟度模型可以引导组织机构了解现有及传统的能力,同时提出适当的问题并寻求答案。例如,问题可以包含:
1 .组织使用的传统技术是什么?
2 .它们使用什么类型的数据和服务?
3 .具体实施了哪些云服务?
4 .是否已经实施了云访问安全代理的解决方案?
5 .如何管理身份以及实施了哪些工具?
6 .组织机构处于云应用的哪个阶段?
然而,问题应当结合组织机构的特定业务和使命量身定制。每个问题应当解决与技术状态、组织文化、运营策略、运营所处的监管环境及组织所面临的云安全架构相关的组织业务愿景。对联邦机构而言,这部分内容在CISA的云安全技术参考架构中有详细说明 。
零信任技术
对技术的考虑至关重要。传统技术解决方案以向边界添加层为核心,但这种基于边界的方法无法遏制对IT系统种类和数量都在不断攀升的攻击。应用程序交付的计算单元已从集中式的大型服务器过渡到众多虚拟化服务器和服务,再到分布在不同云资源中的高度细粒度的容器。功能的原子化给零信任的应用带来了可移植性的挑战;然而,随着数字转型计划驱动云采用率的不断提高,零信任代表了预防和抵御网络攻击的下一代趋势和先进网络空间方案。组织机构在关键能力方面的技能水平,如身份和凭证访问管理(ICAM)、软件定义网络(SDN)、微分段环境、身份感知代理(IAP)以及持续监控系统的能力,将推动向零信任架构的演进。了解组织架构中的技术环境以及市场生态系统中的可用选项将有助于选择适合其环境的正确解决方案。
组织文化
组织文化是所有利益相关方考虑的另一个重要因素。事实证明,COVID- 19疫情是推动组织机构启用“居家办公模式”和安全团队向零信任战略迈进的一个催化剂。要采用零信任,组织机构必须愿意通过企业重构实现改变,并培养“永不信任”的思维。与传统环境相比,拥抱了可扩展云和混合模式的主动式组织更具优势,能够更轻松地采用“零信任思维”。了解组织文化和变革管理能力至关重要。
策略
除了文化,组织机构更新其策略的能力也至关重要。现代IT组织是一个复杂的私有部署和云托管架构交错的混合体,使组织机构的网络安全控制策略面临巨大挑战。策略变更的影响将渗透到组织的所有基础架构、应用程序和数据。对于每个组织机构来说,识别和制定基于零信任的新安全策略的能力将是一个重要因素,也是每个组织独有的。鉴于零信任架构的成熟度水平,组织可能面临识别、创建和规范这些策略的挑战。
监管环境
采用零信任的最后一个关键影响因素源于监管环境。美国政府有两个推动网络安全合规的主要框架:风险管理框架(RMF)^12 和网络安全框架(CSF),都由NIST管理。这两个框架为安全评估、实施、授权和监控提供指导。 2013 年 2 月 12日发布的《改善关键基础设施网络安全的总统第 13636 号行政令》 建立了一个减少网络安全对关键基础设施风险的基于现有标准、指南和实践的框架。
本指南是对 2014 年《网络安全增强法案》 的加强。尽管这些合规框架灵活,但并未专门或更好地促进零信任架构的实施。2021 年 5 月 12 日颁布的第 14028 号行政令(“改善国家网络安全”)要求组织机构应负责管理网络安全风险,并呼吁行政部门支持关键基础设施所有者和运营者及其供应链改善网络安全水平。这些努力值得肯定,并为更多策略创造了动力。比如国防部参照零信任架构理念搭建的零信任架构体系,需要引入零信任成熟度评估(ZTA-CMM)和带有时间表计划的零信任路线图,以实现安全层面的实质性提升。这些监管举措有助于激发必要的变革,以挫败新的网络攻击,增强网络弹性。新法规的出台,将鼓励行业服务提供商和相关利益方(如软硬件供应商、系统集成商、服务提供商、信息技术组织及更多将创新引入解决方案的机构)的参与。
零信任 更多材料阅读
CSA 2021中国零信任全景图
NIST 零信任架构 中文版
产业互联网联盟 零信任实战白皮书 2019
1224
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
