建構一個完整信任體系(trust fabric)以確保身份和網路安全是一個分階段的過程。文中分為四個階段,每個階段都針對不同的優先目標,逐步建立和強化組織的整體安全防護。
第一階段是建立零信任存取控制(Zero Trust access controls)。這是最基礎的一步,目的是保護身份識別、防範外部攻擊,並透過強化驗證和授權控制來明確驗證。文中指出,身份識別是防禦的第一線,也是最容易受到攻擊的區域。因此,透過單一簽入、防釣魚的多重身份驗證或無密碼驗證,以及細緻的條件式存取政策等機制,來制定出有效的零信任策略至關重要。
第二階段是為遠端混合勞動力(hybrid workforce)提供安全存取。隨著遠端工作模式日漸普及,傳統的公司網路邊界已不復存在,組織必須擴大零信任策略的涵蓋範圍。關鍵是要統一身份、終端和網路的條件式存取控制,並將其延伸到內部部署應用程式和網際網路流量,確保每個存取點都受到同等保護。同時實施最小權限存取原則,使用戶只能在必要時存取所需資源,並盡量減少對舊有內部部署安全工具的依賴。
第三階段則是為客戶和合作夥伴提供安全存取。現代客戶身份與存取管理解決方案(CIAM)可協助建立以使用者為中心的無縫體驗,安全地與客戶互動並與組織外部人員合作。組織需要保護外部身份,透過細緻的條件式存取政策、詐欺防護和身份驗證等措施,確保安全團隊了解這些外部使用者的身份。同時也要管理這些外部身份及其存取權限,只允許他們存取所需資源。此外,簡化開發人員體驗也很重要,讓每個新應用程式在一開始就內建強大的身份控制機制。
最後一個階段是保護對多雲端環境中任何資源的存取。隨著雲端服務的快速成長,工作負載身份數量已超過人類身份十倍以上,且大多數超級身份實際上是工作負載身份。因此,有效管理跨雲端的存取權限是非常複雜的挑戰。未來,雲端存取管理需要統一平台,可提供對所有身份(人類和工作負載)的權限和風險的全面可見性,並確保對任何雲端中的任何資源的安全存取。
總的來說,構建一個完整的信任體系需要循序漸進,從基礎的零信任存取開始,擴展到混合勞動力、外部身份和跨雲端資源。這需要結合身份識別、終端、網路、資料、雲端等不同領域的安全措施,並透過先進的人工智慧能力,在實現自動化和提高效率的同時,全面提升組織的身份和網路存取安全水平。
詳情請看:
The four stages of creating a trust fabric with identity and network security
