如何在组织中实施零信任

零信任安全模型极大地降低了与密码相关的网络攻击风险。了解您的组织可以如何进行实施。

什么是零信任?

零信任是一种“假定泄露”安全模型,专为网络安全解决方案架构师、系统集成商和 DevOps 团队创建,旨在将必需的网络安全功能集成到无处不在的 IT 环境中,以支持网络安全规划和决策。

零信任不信任任何人类用户或设备,无论其位于何处。在零信任环境中,所有用户和设备都必须经过身份验证才能访问组织的资源。零信任不依赖于用户所在的位置,而是让其证明自己的身份。

若实施得当,零信任网络访问可让 IT 管理员全面了解所有用户、系统和设备。人员、应用和服务可安全地通信,即使是跨网络环境亦是如此。无论用户是从家里、酒店、咖啡店还是机场连接,还是使用自己的设备,都无关紧要。管理员可以确切地看到谁在连接网络,从何处访问以及正在访问什么。

零信任的三项原则

三项指导原则构成了零信任安全的核心。

  • 假定泄露。

    任何人员或设备都可能发生泄露,即使他们是从办公室内部连接。

  • 显式验证

    在访问网络资源之前,所有人员和机器都必须证明自己是所说的真实身份。

  • 确保最低特权

    即使用户已经通过显式验证,他们也只能获得完成其工作所需的最低网络访问权限,而无多余权限。

如何选择零信任解决方案

市场上有许多兼容零信任的网络安全解决方案,但并非所有解决方案都适合您的特定数据环境和业务需求。在选择零信任解决方案时,问自己以下问题:

解决方案是否要求在客户端资产上安装组件?

客户端解决方案可能会限制业务流程并延误生产力。它们还会给您的 IT 团队带来额外的管理开销。

在本地存在业务流程资源的情况下,解决方案是否有效?

某些解决方案假定请求的资源位于云端(称为南北流量),而不是企业边界内(东西流量)。这在混合云环境中将造成问题,其中执行关键功能的遗留业务线应用可能需在本地运行,因为将它们迁移到云端不可行。

解决方案是否提供记录交互以进行分析的方法?

零信任访问决策在很大程度上取决于与流程相关的数据的收集和使用,尤其是对于特权帐户来说。

解决方案是否为不同的应用、服务和协议提供广泛的支持?

某些解决方案可能支持广泛的协议(SSH、Web 等)和传输(IPv4 和 IPv6),但其他解决方案可能仅适用于 Web 或电子邮件。

解决方案是否需要对现有工作流程进行更改?

某些解决方案可能需要额外的步骤来执行给定的工作流程,这可能要求您的组织对现有工作流程进行更改。

零信任安全的支柱

选择零信任解决方案后,应围绕以下六大支柱来规划零信任的实施,所有这些支柱都必须经过评估,然后相应地进行更新或更换。

  • 身份

    在零信任模型中,每个用户,无论是人类还是机器,都必须具有唯一的数字身份。每当此身份请求访问资源时,系统都必须通过严格的身份验证对其进行确认,并结合行为分析,以确保该用户的访问请求无异常。经过身份验证后,用户的网络访问必须遵循最低特权原则

    您可以通过确保用户为每个帐户使用高强度的唯一密码,并在支持的地方启用多步验证 (MFA) 来实现这一点。此外,组织应部署实时检测、自动修复和互联智能解决方案,以监视帐户泄露情况,并应对潜在问题。

  • 数据

    在当今基于云的环境中,数据无处不在,必须对其驻留的任何地方进行管理。这包括根据最低特权原则严格控制和限制数据访问,并确保静态数据和传输数据都经过加密。

  • 网络

    对网络进行分段以防范威胁行为者横向移动和访问敏感资源。使用“管道内”网络安全控制来增强可见性,包括用于实时威胁防护、端到端加密、监视和分析的工具。

  • 应用

    必须像控制和限制数据本身一样严格地控制和限制应用访问和特权。限制对应用的访问权限,监视应用的使用是否存在异常行为,使用基于角色的访问控制 (RBAC) 来确保用户的应用内权限适当,并遵循最低特权原则。

  • 端点

    只有合规且受信任的应用和设备才能被允许访问数据。在允许员工使用移动设备访问公司应用之前,应要求他们在移动设备管理 (MDM) 中注册设备,并进行一般运行状况和公司安全策略合规性验证。MDM 解决方案还使管理员能够了解设备运行状况和合规性,并能够强制执行策略和安全控制,例如阻止复制/粘贴或下载/传输。

  • 基础设施

    管理本地基础设施和基于云的虚拟机 (VM)、容器和微服务的权限具有挑战性。自动化尽可能多的流程。使用即时 (JIT) 访问来加强防御,部署安全分析以检测异常和网络攻击,并自动阻止和标记危险行为以进行进一步调查和修复。

部署零信任体系结构的最佳做法

实施零信任的最大挑战之一是知道从哪里开始。零信任有很多活动部分,并没有通用的“零信任实施” 标准。以下是一些规划您的组织零信任之旅的最佳做法。

  • 意识到零信任是一项长期决心,而不是一次性的修复方案。

    随着技术、工作流程和威胁环境都在发生转变和变化,零信任体系结构亦需变化。

  • 确保您获得高级管理层的支持。

    零信任需要各级领导采取“全有或全无”的思维和坚定决心。高级管理层的支持是 CRA“冠军”的共同点,而缺乏支持则是继续努力采用零信任的组织提到的最大绊脚石。

  • 从小范围开始。

    为避免业务中断,开始零信任部署时应首先迁移低风险的业务资源,然后在团队对零信任模型有更多经验后再继续迁移更关键的资源。

  • 如果不确定,首先也是最重要的是专注于 IAM。

    身份和访问管理 (IAM) 是零信任中最常实施的组件,95% 的组织已经部署了 IAM 解决方案。

Keeper 如何帮助您的组织采用零信任

Keeper 的零信任、零知识网络安全套件使组织能够对分布式员工采用零信任远程访问,提供强大的身份验证以及细粒度可见性和控制力。KeeperPAM® 是 Keeper 的下一代特权访问管理解决方案,整合了 Keeper Enterprise Password Manager (EPM)、Keeper Secrets Manager (KSM) 和 Keeper Connection Manager (KCM)。

通过整合 EPM、KSM 和 KCM,Keeper 为 IT 管理员提供了一个普适单一管理平台,用于跟踪、记录、监视和保护来自各个位置的每台设备每位用户对所有允许的站点、系统和应用进行的事务处理。

立即使用 Keeper 实施零信任

中文 (CN) 致电我们