零信任已成為整個(gè)安全行業(yè)中訪問(wèn)管理的風(fēng)向標(biāo)。雖然安全主管們大體上已經(jīng)接受了這種方法——其基于這樣一種理念，即企業(yè)網(wǎng)絡(luò)內(nèi)外都不應(yīng)信任任何人員或計(jì)算實(shí)體——但并不是每個(gè)企業(yè)都完成了這一轉(zhuǎn)變。

根據(jù)研究機(jī)構(gòu)Gartner 2024年的一項(xiàng)調(diào)查，全球63%的企業(yè)在某種程度上實(shí)施了零信任策略，然而，其中58%的企業(yè)才剛剛開(kāi)始踏上這條道路，零信任覆蓋的環(huán)境不足50%。

“大多數(shù)企業(yè)都已制定了相關(guān)策略，”Gartner副總裁分析師兼關(guān)鍵倡議負(fù)責(zé)人John Watts表示，但Watts指出，許多安全負(fù)責(zé)人仍在測(cè)試相關(guān)技術(shù)，并構(gòu)建必要的架構(gòu)，以克服障礙。

為了幫助你更好地理解這項(xiàng)工作的組成部分、復(fù)雜性和挑戰(zhàn)，安全主管們分享了他們?cè)趯?shí)現(xiàn)零信任過(guò)程中的經(jīng)驗(yàn)。

讓業(yè)務(wù)接受變革

對(duì)于Mary Carmichael而言，零信任的旅程既是改變文化的過(guò)程，也是改進(jìn)企業(yè)安全基礎(chǔ)設(shè)施的過(guò)程。

Carmichael兩年前被一家加拿大監(jiān)管機(jī)構(gòu)聘為顧問(wèn)，她很快就發(fā)現(xiàn)了改進(jìn)該機(jī)構(gòu)安全態(tài)勢(shì)的必要性，其中包括許多處理敏感數(shù)據(jù)的遠(yuǎn)程工作人員，而這些數(shù)據(jù)大多由該機(jī)構(gòu)監(jiān)管的實(shí)體提供。

Carmichael表示，該機(jī)構(gòu)像許多企業(yè)一樣，其安全基礎(chǔ)設(shè)施在很大程度上信任實(shí)體(人員、設(shè)備和應(yīng)用程序)，一旦它們進(jìn)入技術(shù)環(huán)境。

“以前的情況是：一旦登錄到網(wǎng)絡(luò)，就會(huì)被信任，但零信任要求全程驗(yàn)證，這是一個(gè)巨大的改變，”Carmichael說(shuō)，她是Momentum Technology戰(zhàn)略、風(fēng)險(xiǎn)和合規(guī)咨詢部的總監(jiān)，也是專業(yè)治理協(xié)會(huì)ISACA新興趨勢(shì)工作組的成員。

Carmichael表示，該機(jī)構(gòu)具備基本的身份和訪問(wèn)管理(IAM)能力，但沒(méi)有采用多因素認(rèn)證(MFA)和特權(quán)訪問(wèn)管理(PAM)——這兩項(xiàng)技術(shù)是零信任架構(gòu)的關(guān)鍵。該機(jī)構(gòu)也沒(méi)有工具來(lái)跟蹤實(shí)體在環(huán)境中的移動(dòng)，因此無(wú)法挑戰(zhàn)實(shí)體嘗試使用的每個(gè)系統(tǒng)的訪問(wèn)權(quán)限。

Carmichael解釋說(shuō)，雖然該機(jī)構(gòu)曾一度創(chuàng)建了身份，并將它們與適當(dāng)?shù)脑L問(wèn)級(jí)別相匹配，但出現(xiàn)了“訪問(wèn)蔓延”，因?yàn)闆](méi)有進(jìn)行治理，而且人員離職后，從身份管理系統(tǒng)中刪除他們的信息也會(huì)延遲。

但要開(kāi)始解決該機(jī)構(gòu)的安全態(tài)勢(shì)問(wèn)題，Carmichael首先必須為利益相關(guān)者提供一個(gè)零信任的共同定義，以及一個(gè)進(jìn)行必要工作的有力理由。只有這樣，她才能向該機(jī)構(gòu)傳授實(shí)現(xiàn)零信任所需的技術(shù)手段，如網(wǎng)絡(luò)分段、PAM和MFA，以及實(shí)現(xiàn)零信任所需的過(guò)程變革。

咨詢公司Protiviti負(fù)責(zé)網(wǎng)絡(luò)戰(zhàn)略實(shí)踐的董事總經(jīng)理Nick Puetz表示，Carmichael的經(jīng)歷反映了大多數(shù)企業(yè)的情況，這些企業(yè)在正式采用零信任方法之前，往往已經(jīng)有了零信任的各種組成部分，但它們并沒(méi)有協(xié)同工作。使用零信任框架可以有所幫助。

“這是一種將所有部分整合在一起的方法?！彼f(shuō)。

在推動(dòng)該機(jī)構(gòu)沿著零信任的道路前進(jìn)時(shí)，Carmichael面臨的最大障礙是讓業(yè)務(wù)接受變革。

Carmichael說(shuō)，在零信任框架下，業(yè)務(wù)領(lǐng)導(dǎo)和人力資源部門需要在創(chuàng)建和管理身份以及為每個(gè)身份建立適當(dāng)?shù)脑L問(wèn)級(jí)別方面做大量工作，他們必須承擔(dān)起做好這項(xiàng)工作并持續(xù)管理它的責(zé)任。

她強(qiáng)調(diào)說(shuō)，這是一項(xiàng)企業(yè)變革，因此，企業(yè)變革管理和高級(jí)別贊助對(duì)于成功轉(zhuǎn)向零信任至關(guān)重要。

Carmichael補(bǔ)充道，關(guān)注“風(fēng)險(xiǎn)價(jià)值”——即如果黑客訪問(wèn)了敏感數(shù)據(jù)會(huì)發(fā)生什么，以營(yíng)造推動(dòng)變革的緊迫感，這有助于在業(yè)務(wù)利益相關(guān)者中獲得對(duì)零信任的支持。教育和培訓(xùn)也是如此。

“轉(zhuǎn)向零信任涉及許多不同的群體、過(guò)程變革和人員，我認(rèn)為人們沒(méi)有意識(shí)到零信任所需變革的程度?！彼f(shuō)。

在可用性和安全性之間取得平衡

當(dāng)Niel Harper擔(dān)任聯(lián)合國(guó)項(xiàng)目事務(wù)廳(United Nations Office for Project Services)首席信息安全官時(shí)，他面臨著一項(xiàng)艱巨的任務(wù)：確保該企業(yè)8000名用戶的安全，這些用戶遍布全球各地，其中許多人遠(yuǎn)離哥本哈根、日內(nèi)瓦和紐約市的辦事處，在野外工作。

為此，Harper在2019年至2022年任職期間，啟動(dòng)了該企業(yè)的零信任之旅。

與Carmichael一樣，Harper首先檢查了企業(yè)的網(wǎng)絡(luò)、設(shè)備、應(yīng)用程序、工作負(fù)載、數(shù)據(jù)和身份，以了解可以在哪里以及應(yīng)該在哪里放置細(xì)粒度控制，他還必須根據(jù)業(yè)務(wù)目標(biāo)和關(guān)鍵資產(chǎn)來(lái)確定從隱式信任轉(zhuǎn)向零信任所需的技術(shù)組件和過(guò)程變革。

“讓我們定義我們的核心資產(chǎn);這些通常占你數(shù)據(jù)或資產(chǎn)的2%到10%，找出它們并進(jìn)行分類——關(guān)鍵、高價(jià)值、機(jī)密、嚴(yán)格機(jī)密。這會(huì)讓你更清楚地了解你想要保護(hù)什么，”他說(shuō)，“然后，看看與你定義的目標(biāo)最契合的技術(shù)投資，以獲得你想要保護(hù)的資產(chǎn)的優(yōu)先集?！?/p>

Harper還提前花時(shí)間確定了快速見(jiàn)效的領(lǐng)域和零信任可能不可行的領(lǐng)域——比如遺留技術(shù)。

在實(shí)施戰(zhàn)略時(shí)，Harper采取了循序漸進(jìn)的方法。

“我認(rèn)為零信任不太適合大爆炸式的部署，它太具有破壞性了，”他說(shuō)，并補(bǔ)充說(shuō)他在旅程早期就召集了用戶小組。

“零信任架構(gòu)會(huì)增加額外的摩擦，因?yàn)樗鼤?huì)不斷驗(yàn)證人員的訪問(wèn)權(quán)限、身份、權(quán)限，這種摩擦可能會(huì)讓用戶感到沮喪，”他說(shuō)，“所以我們有焦點(diǎn)小組和跨職能團(tuán)隊(duì)，包括來(lái)自業(yè)務(wù)的代表和用戶，這樣我們就可以解釋我們的目標(biāo)，用戶就可以分享他們的痛點(diǎn)和擔(dān)憂，因此，在我們實(shí)施控制措施時(shí)，仍然可以獲得良好的用戶體驗(yàn)。你不希望降低用戶的體驗(yàn)質(zhì)量。你必須始終在可用性和安全性之間取得平衡?！?/p>

為了向前推進(jìn)，Harper的團(tuán)隊(duì)首先在辦公室實(shí)施了控制措施，從那些快速見(jiàn)效的領(lǐng)域開(kāi)始，這包括實(shí)施MFA和強(qiáng)制執(zhí)行條件訪問(wèn)的技術(shù)。

然后，Harper制定了一份路線圖，以解決在他離職后可以繼續(xù)實(shí)施的更復(fù)雜問(wèn)題。

Harper現(xiàn)在是軟件公司Doodle的CISO和全球數(shù)據(jù)保護(hù)官，同時(shí)也是ISACA董事會(huì)副主席，他表示，在推動(dòng)新公司的零信任模型時(shí)，他正在采取類似的方法。

“人員、流程和系統(tǒng)的融合”

2021年的一次黑客攻擊讓OHLA USA及其CIO Srivatsan Raghavan踏上了零信任的旅程。Raghavan解釋說(shuō)，這一事件表明，過(guò)去實(shí)施的各項(xiàng)安全措施“綜合起來(lái)仍然不足”。

“我們有好幾年都沒(méi)有發(fā)生過(guò)任何事件，所以我們覺(jué)得自己做得對(duì)。我不愿稱之為過(guò)度自信，但這確實(shí)是一種得到驗(yàn)證的感覺(jué)?！盧aghavan說(shuō)。

這次攻擊顛覆了這種驗(yàn)證，并為該公司提供了一個(gè)“做得更好的跳板，因?yàn)榱阈湃握J(rèn)為，工具是不夠的，它是人員、流程和系統(tǒng)的融合”。

Raghavan負(fù)責(zé)安全工作，他和他的團(tuán)隊(duì)從自我檢查開(kāi)始：“我們必須思考我們每天的運(yùn)作方式。你把所有這些都擺在桌面上，然后反思?！?/p>

他說(shuō)，這使他意識(shí)到，隨著企業(yè)構(gòu)建零信任安全環(huán)境，需要增加更多控制，并打破壁壘。

“我們必須摧毀企業(yè)內(nèi)部的所有這些壁壘，才能讓IT團(tuán)隊(duì)變得更好，并更好地了解整個(gè)業(yè)務(wù)?！彼f(shuō)。

為了幫助實(shí)現(xiàn)這一點(diǎn)，Raghavan結(jié)合美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)和微軟(Microsoft)的框架，創(chuàng)建了一個(gè)框架，他的自定義框架使他的團(tuán)隊(duì)能夠按類別劃分并處理項(xiàng)目，以推進(jìn)公司的零信任之旅，該框架還幫助他們?cè)u(píng)估公司在特定領(lǐng)域識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和從潛在入侵和事件中恢復(fù)的能力。

Protiviti董事總經(jīng)理Puetz說(shuō)，許多企業(yè)出于類似的原因發(fā)現(xiàn)零信任很有價(jià)值。“零信任能夠使CISO將戰(zhàn)略分解成小塊，并解釋網(wǎng)絡(luò)安全計(jì)劃目前處于什么位置，以及需要去向何方?！彼a(bǔ)充說(shuō)。

Raghavan在使他的零信任計(jì)劃成熟方面取得了顯著進(jìn)展。

例如，他淘汰了廣域網(wǎng)(WAN)，并用基于云的控制措施取而代之，包括始終在線的虛擬專用網(wǎng)絡(luò)(VPN)、移動(dòng)設(shè)備管理(MDM)解決方案、MFA和條件訪問(wèn)功能。

他還取消了服務(wù)器管理員和網(wǎng)絡(luò)工程師等職位，他說(shuō)“我們不再需要這些崗位”，并轉(zhuǎn)變?yōu)楦呒?jí)技術(shù)人員和初級(jí)技術(shù)人員，以打破壁壘。

“我們不想在職責(zé)上劃清界限。我們想反映工作的相互依存關(guān)系?！盧aghavan說(shuō)，他在這一過(guò)程中成為了注冊(cè)信息安全管理人員(CISM)。

Raghavan表示，零信任理念使他的公司——一家倡導(dǎo)“始終思考安全”的大型建筑公司——走上了一條更安全的道路，因?yàn)樵摴菊诓捎酶嗟淖詣?dòng)化和AI技術(shù)。

“零信任將使管理安全和實(shí)現(xiàn)更細(xì)粒度的控制變得更容易，零信任就是要盡可能細(xì)粒度地管理IT?！彼a(bǔ)充道?！澳蔷褪俏覀兊膽?zhàn)略方向，審視每一個(gè)業(yè)務(wù)流程，尋找缺陷和漏洞，然后找到通過(guò)應(yīng)用零信任原則來(lái)加強(qiáng)我們業(yè)務(wù)運(yùn)營(yíng)的方式?！?/p>