身份是零信任的基礎(chǔ)構(gòu)建塊。以下是如何以身份為中心構(gòu)建您的零信任策略。

現(xiàn)代企業(yè)正受到攻擊。這就引出了一個(gè)問題，即您的業(yè)務(wù)何時(shí)會(huì)被破壞，而不是是否會(huì)被破壞。網(wǎng)絡(luò)安全圍繞需要保護(hù)免受外部威脅的本地應(yīng)用程序的日子已經(jīng)一去不復(fù)返了。員工和承包商在您的網(wǎng)絡(luò)或建筑物中訪問他們所需的一切的時(shí)代已經(jīng)結(jié)束。

網(wǎng)絡(luò)安全現(xiàn)狀

隨著不斷發(fā)展的數(shù)字化轉(zhuǎn)型工作、遠(yuǎn)程和混合工作環(huán)境以及不斷發(fā)展的云優(yōu)先基礎(chǔ)設(shè)施，組織正在改變他們的業(yè)務(wù)方式；僅僅依靠網(wǎng)絡(luò)邊界已經(jīng)不夠了。組織（公共和私人）需要隨時(shí)隨地從任何設(shè)備、服務(wù)或應(yīng)用程序提供訪問以支持業(yè)務(wù)。

作為回應(yīng)，聯(lián)邦政府為聯(lián)邦機(jī)構(gòu)制定了一項(xiàng)戰(zhàn)略，為私營部門公司提供可操作的指導(dǎo)。該承諾提出了 零信任架構(gòu) (ZTA)，要求政府機(jī)構(gòu)滿足特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以加強(qiáng)政府對(duì)日益復(fù)雜和持續(xù)的威脅活動(dòng)的防御。拜登政府關(guān)于改善國家網(wǎng)絡(luò)安全的 行政命令和 行政備忘錄是進(jìn)一步嘗試改進(jìn)應(yīng)對(duì)網(wǎng)絡(luò)威脅的最佳做法。

顯然，領(lǐng)導(dǎo)者需要比以往任何時(shí)候都更加警惕他們的防御，實(shí)施零信任戰(zhàn)略是一個(gè)很好的起點(diǎn)。然而，憑借其引人注目的魅力和靈丹妙藥的定位，零信任的承諾和實(shí)踐經(jīng)常被誤解。那么，我們?nèi)绾尾拍芟胍舨㈤_始實(shí)現(xiàn)它的價(jià)值呢？我們可以從設(shè)定期望開始。

零信任解釋

正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST) 所定義的那樣，“零信任是一種安全范式，它根據(jù)適應(yīng)風(fēng)險(xiǎn)優(yōu)化組織安全態(tài)勢?！?信任本質(zhì)上不是給予的——它必須通過給定的審查過程來獲得。

但零信任不僅僅是改變安全范式，而是挑戰(zhàn)商業(yè)文化?，F(xiàn)在必須通過足夠及時(shí)的訪問來緩和始終在線訪問，以幫助減少內(nèi)部威脅和黑客搜索特權(quán)帳戶?！皬牟恍湃危冀K驗(yàn)證”的架構(gòu)更適合延遲甚至防止全面數(shù)據(jù)泄露。如果沒有強(qiáng)大的身份治理計(jì)劃，這是不可能的。

Gartner 指出，“擁有強(qiáng)大的身份訪問基礎(chǔ)是成功的關(guān)鍵先決條件。” 事實(shí)上，國家網(wǎng)絡(luò)安全卓越中心更進(jìn)一步，并指出“增強(qiáng)的身份治理被視為零信任架構(gòu)的基礎(chǔ)組成部分?！?專家和分析師一致認(rèn)為，身份是成功推出零信任的基礎(chǔ)。原因如下：

為什么身份至關(guān)重要

身份通過確保正確的員工和承包商可以訪問正確的應(yīng)用程序和系統(tǒng)來執(zhí)行他們的工作，從而充當(dāng)最佳工作流程和安全性之間的結(jié)締組織。薄弱的身份策略可能會(huì)導(dǎo)致數(shù)據(jù)泄露、勞動(dòng)密集型實(shí)踐以及可能需要數(shù)月才能執(zhí)行的手動(dòng)審計(jì)。這造成了組織無法無人看管的重大安全漏洞。

身份治理允許了解員工和承包商在您的組織內(nèi)應(yīng)該擁有哪些訪問權(quán)限。如果做得好，這可以大規(guī)模地快速、高效、一致和準(zhǔn)確地自動(dòng)化安全訪問。此外，基于云的身份治理 解決方案可能更有益，通過無縫集成和更短的員工學(xué)習(xí)曲線帶來更快的價(jià)值實(shí)現(xiàn)時(shí)間。

實(shí)施成功的身份治理計(jì)劃的最有效方法之一是通過現(xiàn)有的 IT 服務(wù)管理 (ITSM) 系統(tǒng)。好消息是，47% 的知識(shí)工作者已經(jīng)轉(zhuǎn)向 ITSM 來支持他們的部分身份項(xiàng)目。不幸的是，電子郵件（50%）和電子表格（32%）等手動(dòng)、不安全和容易出錯(cuò)的方法是這里最大的競爭對(duì)手（梯度流）。最終，越來越多的組織將資金留在桌面上并增加風(fēng)險(xiǎn)。

對(duì)于企業(yè)來說，這是一個(gè)很好的機(jī)會(huì)來評(píng)估他們當(dāng)前的技術(shù)堆棧并查看身份適合的位置，讓位于更具凝聚力的零信任計(jì)劃。身份在將信任從網(wǎng)絡(luò)擴(kuò)展到用戶、設(shè)備、服務(wù)和應(yīng)用程序級(jí)別方面發(fā)揮著至關(guān)重要的作用。與其將身份治理和安全性視為一個(gè)檢查框，不如將其用作關(guān)鍵業(yè)務(wù)功能和實(shí)現(xiàn)零信任的工具。

盡管零信任實(shí)施面臨許多挑戰(zhàn)——缺乏理解、不斷變化的業(yè)務(wù)優(yōu)先級(jí)和 IT 資源等等——重要的是要記住這是一場馬拉松，而不是沖刺。無需或不建議進(jìn)行全面的技術(shù)大修以啟動(dòng)您的零信任計(jì)劃。

了解您的 ITSM 平臺(tái)中可用的功能，開始接管誰有權(quán)訪問您的組織內(nèi)的內(nèi)容及其管理方式，然后從那里開始。改變是艱難的，但扎根的身份計(jì)劃可以讓您在零信任之旅中順利進(jìn)行。