如何实施零信任策略？

通过零信任机制，您可以隐藏网络中的应用程序，使其无法被外部人员访问。只有经过授权的用户才能访问这些应用程序，而且访问权限也是通过特定的网关进行限制的。之后，系统会验证用户的身份和权限等级，然后再允许其进入企业内部网络的其他区域。这样就能最大限度地减少用户在企业网络其他区域的移动范围。

让我们快速回顾一下什么是零信任架构。全球研究与咨询公司Gartner将零信任定义为一系列相互关联的产品和服务，它们共同构成了一个基于身份的保护层，能够覆盖网络中的各种用户和应用程序。

像思博这样的现代解决方案，都是基于“零信任”原则来设计的——即“拒绝所有用户，只允许部分用户访问”。换句话说，在确认用户的身份之前，不应该信任任何用户。所谓“零信任”，实际上意味着不再对那些不在特定网络内的实体给予任何信任。

虽然各组织都承认“零信任”是一种有效的应对网络攻击的方法，但过时的传统安全基础设施，以及拒绝大多数用户访问的严格政策，使得企业对于采用这种模式的过程感到担忧。事实上，对企业来说，实施这种模式比大多数人想象的要容易得多，也更为重要。

主要要点/核心内容

• 零信任机制将网络应用程序隐藏起来，不让外部人员访问。只有通过特定网关进行身份验证的用户才能访问这些应用程序。
• 远程工作和外部协作的兴起，使得传统的网络边界变得不再那么明显。因此，为了实现更好的安全性，就需要采用零信任模型来保障网络安全。
• 零信任实施步骤包括：通过多因素认证来验证用户身份、监控设备的健康状况、了解网络之间的交互关系，以及持续更新访问控制机制。
• 在实施过程中可能会遇到各种挑战，比如持续的监控需求、新安全措施的逐步引入，以及由于增加了用户身份验证步骤而导致的潜在干扰问题。
• 零信任原则确保只有经过验证的实体才能访问关键数据和资源。这通常是行业的最佳实践。

为什么零信任对商业来说如此重要？

因此，针对外部的网络攻击以及可能带来危害的内部数据泄露事件所涉及的表面积呈指数级增长。这使得传统的网络安全措施已经无法有效应对这些威胁了。

尽管名为“零信任”，但实际上，Zero Trust遵循的是“仅允许可信用户访问”的原则。对于企业主来说，这意味着可以针对网络中的某些区域实施访问控制。管理员可以根据员工需要使用的资源来分配相应的访问权限，从而确保企业网络的安全性。

实施零信任网络访问解决方案，可以让您的企业更好地控制对资源的访问权限。这样一来，检测网络中的安全漏洞所需的时间就会减少，同时，您也能全面了解整个公司网络中的各种活动情况。

实施零信任安全策略所面临的复杂性

虽然许多IT专业人士都认同采用零信任策略的重要性，但这一转变并非没有挑战。以下是零信任安全框架中可能遇到的一些复杂问题。

过度干扰/破坏

零信任策略的核心组成部分之一，就是根据“最小权限”原则来授予访问权限。要实现这一点，组织需要深入了解自己的数据、相关的工作流程以及用户的角色。这意味着需要对网络进行划分、对数据进行分类，并在细粒度级别定义访问权限——这在规模较大或发展速度较快的组织中是一项复杂的任务。

身份与认证规划

为了使零信任机制发挥有效作用，组织需要拥有完善的身份与访问管理解决方案。这包括多因素认证、持续性的身份验证以及动态的风险评估等机制。虽然这些工具能够提升安全性，但它们也可能给用户带来额外的麻烦，同时也会增加IT部门的维护成本。此外，这些工具还可能留下一些漏洞，从而导致零信任机制无法有效发挥作用。

传统系统及集成方案

许多组织同时使用现代系统和传统系统。要确保这些传统系统符合零信任原则，从技术角度来看可能会面临挑战，而且成本也会很高。此外，在遵循零信任原则的同时，还要整合各种系统、应用程序和平台，这无疑会增加系统的复杂性。

减轻内部威胁

虽然零信任策略在限制横向移动和划分访问权限方面表现优异，但其对严格验证的强调有时会忽略人为因素的影响。由于他们的职位地位，内部人员通常能够合法地访问敏感数据和系统，因此他们进行恶意或无意中的操作就更加难以被察觉。此外，他们对组织流程和系统的熟悉程度也可能使他们能够利用漏洞或绕过安全控制措施。

零信任实施的步骤

采用零信任安全模型并不一定要非常复杂——只要遵循正确的步骤，就能避免敏感数据的泄露。

了解你正在保护的区域。

企业网络并非固定不变的实体，而是不断扩展的。因此，很难对其进行全面的定义、控制或保护。相反，管理员应该确定那些最需要保护的数据、应用程序、资产和服务所在位置，而不是试图对整个网络进行全面的规划。而“保护表面”这一策略，正是实现零信任理念的第一步。

2. 了解应用程序在您的网络中的交互方式。

观察并记录各个应用程序之间的交互方式。即使没有所有的相关信息，您的管理员仍然可以了解哪些地方需要加强访问控制。了解系统的运作方式，就能知道需要在哪里实施访问控制。换句话说，在构建保护措施之前，必须先明确自己要保护的内容是什么。

3. 概述您的零信任架构。

请记住，网络并不是普遍适用的。因此，在规划你的网络的防护机制时，你可以确定零信任架构的架构结构。下一步就是添加安全措施，以限制对关键网络区域的访问权限。

4. 制定您的零信任策略。

“谁？什么？何时？何地？为何？如何？”这个系统，也被称为……基普林方法这是一种有效的手段，可以用来判断某个用户或实体是否符合获取您所保护的区域的资格。本质上来说，用户与应用程序之间的通信内容应该完全由管理员来掌控，不得有任何未经授权的通信行为。因此，为了确保所有操作都是可信的，就必须设定严格的标准，并确保这些标准得到遵守。

5. 保持您的网络权限正常。

尽可能记录下发生在您所处环境中的各种活动，这是实现零信任安全体系的关键。知识就是力量，因此，管理员可以利用这些数据来加强零信任网络安全体系，随着时间的推移，他们还可以进一步实施更严格的访问权限管理。

零信任网络访问是一种可以相对容易地融入现有架构的模型。这意味着，管理员无需进行全面的技术改造即可实现零信任模式。在实施零信任策略时，企业面临的一些挑战主要是初期的困难问题，但一旦达到理想的防御水平后，企业的安全设置就能有效抵御各种攻击了。

零信任机制的作用是确保，您最重要的数据和资源只能被那些真正需要它们的人访问。可信的/可靠的而且，没有其他人了。

在实施零信任策略时，我应该记住哪些要点呢？

我们为那些希望自行实施零信任模型的企业们制定了一份检查清单，这些建议都是基于最佳实践而得出的。

• 通过验证所有用户的身份来确保其真实性。多因素认证
• 确保所有设备都保持最新状态，并且处于良好的运行状态。
• 进行全面的观察与监测，以获取最有价值的数据，从而为实施访问控制提供依据。
• 将访问权限限制在特定应用程序、资源、数据以及资产上，而不是整个网络范围内。

在实施零信任策略时，我应该注意哪些事项呢？

在实施零信任架构时，最常见的一些挑战包括：

• 持续监控以保持“零信任”模式的效率
• 需要一个逐步且全面的介绍/讲解新的安全实践措施（并非适用于所有情况的解决方案）
• 由于需要额外的用户识别步骤，可能会导致工作效率受到负面影响。

虽然对于那些希望实现零信任架构的企业来说，实施这一策略可能会面临一些挑战，但其中的积极因素远远超过了消极因素。零信任架构能够让企业网络有效应对各种网络威胁，无论是已知的还是未知的威胁。

零信任领域的最佳实践

一般来说，最佳实践可能会带来误导性的后果，因为它们本质上都是基于个人意见而得出的结论。由于“零信任”并没有一个明确的定义，因此最佳实践往往取决于提出这些建议的人。

话虽如此，不过通常来说，遵循这些建议的话，你就能走上正确的道路了。

由多因素认证机制所保护的身份信息

在零信任架构的构建过程中，第一步就是实施多因素认证。无论您选择哪种解决方案，将第二道身份验证步骤纳入其中，就能有效防止外部人员仅通过密码来滥用用户的身份。

健康的设备

保持设备的正常运行也是非常重要的步骤。必须确保设备运行着最新版本的软件以及安全更新，这样才能避免任何漏洞或缺陷的存在。

遥测技术

盲目地安排事情然后就不管了，这种做法毫无意义。为了确保各项操作能够顺利进行且符合规定，就必须进行恰当的监控和管理。

常见问题解答

我该如何选择一家零信任解决方案的供应商呢？

理想的零信任服务提供商应当具有灵活性，能够适应各种需求。最重要的是，这样的服务应该易于使用和管理。思博就是基于“拒绝一切，允许部分”这一零信任原则而构建的一种自适应网络访问解决方案。

零信任模式是否正在取代VPN呢？

不。零信任是一种基于身份的访问控制模型，它可以与您现有的安全体系相融合。这种模型涵盖了所有设备和用户。而VPN则是一种当前被广泛采用的安全措施，它也可以成为零信任模型的一部分。

如何处理零信任机制在访客访问场景中的应用呢？

就像企业负责处理自由职业者和承包商的访问权限一样，通过使用像思博这样的自适应零信任解决方案，管理员可以授予可信的访客用户相应的权限——这些权限仅限于他们执行任务所需的资源和数据。

实施零信任体系需要多长时间呢？

所需的时间完全取决于您所采用的特定解决方案，以及网络的整体复杂性。网络越复杂，记录所有细节所需的时间就越长，同时决定哪些设备或账户应该分配给哪些部分也变得更加困难。