企业很关注的实施零信任访问的六个步骤

现代组织不再受固定范围的约束。实际上，在用户从任何地方都在自己的设备上工作，敏感的公司数据存储在多个云服务中的世界中，基于边界的安全模型正在瓦解。

组织不能再依赖于专注于让好人进入并把坏人拒之门外的二进制安全模型。他们的最大挑战是弄清楚如何为用户提供所需的访问权限，同时减少设置和维护成本，同时又不损害安全性。

为了应对这一挑战，精明的组织正在放弃传统的“信任但验证”的网络访问方法，而采用零信任访问，其根源于“永不信任，始终验证”的原则。

根据Forrester Research的研究，零信任架构消除了在定义的公司范围内建立可信网络的想法。相反，该公司建议围绕敏感数据资产创建微边界控制。

这是实现零信任访问体系结构的六个步骤。

使用多重身份验证（MFA）

MFA是网络安全智能方法的基本构建块。正确使用它可以反映零信任的指导原则：“永远不要信任，永远要再次验证。”

MFA需要提供两个或多个身份验证因素：知识因素（只有用户知道的东西，例如密码，PIN或模式），占有因素（只有用户才知道的东西，例如ATM卡，智能卡，或移动电话）和固有因子（包含生物特征（例如指纹，视网膜扫描或面部扫描）的东西）。在展示时，必须验证每个因素以进行身份验证。

验证所有端点设备

验证用户而不验证其设备是潜在灾难的良方，因为攻击者经常使用受损的计算机来破坏公司网络。

设备验证应使组织能够确定寻求访问内部资源的端点是否满足其安全要求。最好的解决方案包含跟踪和强制执行所有设备状态的功能，同时使用户易于上手和下手。

实施最低特权原则（PoLP）

每个零信任架构都应包含PoLP，该概念基于以下概念：应仅向单个用户授予足够的特权以允许他们完成特定任务。例如，不应允许应用程序开发人员访问财务记录。

为了获得最大的有效性，PoLP应该扩展为“及时”访问，这将用户的特权限制在特定的时间段内。

监控和审计一切

除了验证和分配特权外，监视和检查网络中的所有用户活动也至关重要。这有助于组织实时识别任何可疑活动。深度可见性对于有权访问各种敏感数据的管理员帐户尤为重要。

采用基于属性的控件

这些控件基于基于策略的访问，通过组合属性的策略授权访问。这些策略可以组合任意数量的用户属性，资源属性，对象属性等。

这些控件可以在整个安全堆栈中起作用，从内部部署到云，再到API，再到数据，再到网络基础架构。它们使网络和安全管理员可以自动化和实施可以实时阻止可疑事件的访问策略。

涉及整个最终用户社区

自上而下的方法注定会失败。成功取决于组织寻求所有用户和部门的意见，以实施尽可能无摩擦的安全策略和过程。

实施零信任访问具有几个重要的安全优势。由于可以连续地主动管理访问，因此可以改善控制。这也减少了组织的攻击面，并通过使未经授权的资源无法访问甚至看不见来防止横向攻击。最后，零信任访问体系结构通过活动监视来提高可见性，这对于事件响应，审核和法医分析至关重要。

本文始发于微信公众号（飓风网络安全）：企业很关注的实施零信任访问的六个步骤