Helpnetsecurity發佈了一篇組織積極擁抱零信任,整合仍然是一個障礙
零信任是一種安全模型,它要求組織對所有的資源、使用者和請求都進行驗證和授權,而不是依賴於傳統的網路邊界。零信任可以幫助組織提高安全性、減少風險和符合法規要求。然而,實施零信任並不是一件容易的事情,需要有明確的目標、計劃和方法。
根據 Help Net Security 的文章,實施零信任的
- 第一步是進行資產清點,了解組織的資源、使用者和請求的類型、位置和關聯性。這可以幫助組織確定哪些資源是最重要的,需要最高級別的保護,以及哪些資源可以分類為低風險或公開的。
- 第二步是定義政策和規則,根據資產清點的結果,制定適當的存取控制和數據保護措施。這些政策和規則應該基於最小權限原則,即只授予使用者或請求所需的最小權限,並定期審核和更新。此外,政策和規則應該考慮到不同的情境因素,如時間、地點、裝置、角色等。
- 第三步是選擇和部署工具和技術,以支持政策和規則的執行。這些工具和技術可能包括身份和存取管理(IAM)、多因素認證(MFA)、端點安全、加密、微服務架構等。選擇和部署工具和技術時,應該注意與現有的系統和流程相容,並測試其效能和可靠性。
- 第四步是監測和優化零信任架構,以確保其正常運作並達到預期的效果。這需要收集和分析各種數據指標,如存取請求、事件、異常、漏洞等。根據數據指標的反饋,應該及時調整政策、規則、工具和技術,以解決問題或改善效率。
實施零信任需要有長期的視野和持續的努力,並避免一些常見的錯誤,如缺乏領導支持、沒有清晰的目標、忽略使用者體驗等。只有這樣,組織才能真正享受到零信任帶來的安全優勢。
詳情請看:
Organizations actively embrace zero trust, integration remains a hurdle