零信任安全架构应如何落地？

过去，我们认为企业如同一座被城墙（防火墙）、护城河（DMZ）和吊桥（访问控制）层层防护起来的坚固城池，但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下，零信任理念已经逐渐成为解决网络安全问题的重要推手。

iSMG最近发布的《2022年零信任策略报告》显示：绝大多数受访者都表示零信任对于降低网络安全风险至关重要；近一半（46%）的受访者表示零信任是2022年最重要的安全实践。

此外，Forrester的另一项面向300余家大型企业的调查报告也显示：78%的安全高管均计划在今年增加对零信任的使用力度。

尽管零信任是大多数网络安全团队的首选，但其实际落地却不尽乐观。在Forrester所调查的企业中，能够全面部署零信任的企业所占比例仅为6%；另有30%的受访者表示只是在企业局部部署了零信任；还有63%的受访者表示，其企业内部对零信任项目现仍于评估、规划或试点阶段。

2021年5月，美国政府在改善国家网络安全的行政令中要求政府机构要采用零信任方案，政令发布后，美国行政管理和预算办公室（英文简称：OMB）随即发布了如何推进零信任架构落地的战略方案，此外，接二连三，CISA在去年秋季发布了《零信任成熟度模型》、NIST发布了白皮书《零信任架构规划》，其中，《零信任架构规划》阐述了如何利用网络安全框架（CSF）和NIST风险管理框架（RMF，SP800–37）来助力企业顺利迁移升级为零信任架构。

以下是上述国外应对零信任架构实际落地的5个最佳实践总结，供读者了解、参考：

安全风险评估应从攻击者角度出发。例如，企业安全团队最常关注的潜在攻击面有：

•安全边界在哪？

•外部人员将会如何闯入？

•有什么潜在的方法可以闯入？

NIST的《零信任架构规划》给出的建议是，建立安全防护需要先从数据和应用程序出发，应先分析价最高、风险最大的数据信息和资产。因为保护面比攻击面的范围和边界要小得多。

当在零信任架构中，找不到任何需要保护的边界时，企业可以在资产周围设置“微边界”，通过微边界，企业用户可以全面的了解和控制，何人在何地、何时，通过何种手段进行了访问。

因此，企业可以根据业务的重要等级，来确定受保护对象的重要性和优先级。先确定最关键的应用程序，然后再确定次重要的。层层递减，如此便可实现对所有应用程序的等级保护。

CISA在《零信任成熟度模型》中表示，企业在围绕身份、设备、网络、应用程序和数据等执行点实施零信任时，实现可见性，即全面的了解一切资产如何相互连接是执行上述策略的基础。

用户、设备和服务都需要连接到数据中心。如果企业不了解该环境的运作方式，就试图强制执行零信任，则会使该环境变得更复杂，从而导致安全缺口或工作流程中断。在保证了可见性之后，企业就可以清晰的了解到应采取怎样的可信执行策略。

NIST在《零信任架构》中表示，与传统防护手段相同，零信任理念保证数据中心安全的前提也是确保网络环境和周边环境安全。但差别在于如何在数据中心创建“微边界”（micro-boundary），零信任要求只有通过审核标准的流量才能通过。

因此在构建零信任架构时，网段和边界相比传统模式会变得更小。因此，微隔离策略应与现有的网络架构相脱离，并要具被灵活的扩展功能。

此外，在部署零信任架构时，允许访问的列表要基于策略，而不是基于IP地址。这项工作十分繁重，传统通过人工的方式无法解决，而零信任网络访问解决方案则使用机器学习（ML） 或人工智能（AI）来了解流量模式和访问逻辑，以帮助企业创建自动访问策略。

无论企业选择部署哪种框架或模型，身份都是零信任安全的基础，都需要身份来源认证和基于角色的访问控制等关键组件。身份来源不仅要包含用户的身份，还要包括服务帐户、应用程序会话、暂时身份和云资产。

零信任要求在提供安全访问之前先验证身份，这对于VPN等传统解决方案是不可能实现的。软件定义边界（Software-Defined Perimeter，简称“SDP”）或零信任架构不仅仅验证IP地址，还在授予访问权限之前，根据设备状态、位置、时间、角色和权限来持续评估安全风险。

此外，随着数字足迹的大小和形状发生变化，我们不再拥有“数字网络”或“数字服务”。不过，我们现在拥有不断扩展的“数字生态系统”。假设企业在获得这些新渠道、效率或敏捷性的同时希望保持安全，那就需要采用零信任架构。

零信任模型可确保全面的审计跟踪，基于身份的零信任会持续监控所有用户对系统中任何资源的每个访问请求，无论在本地还是在云端。每当身份（人或机器）试图访问资产时，都会根据其在会话期间的行为及其他上下文参数执行风险分析。更加便于合规策略的执行。

尽力缩小攻击面是减少风险暴露、降低安全事件发生的关键。

在企业内部，零信任理念的微隔离方法在提供了安全连接授权资源的便利的同时，也确保了任何身份未经授权的资产都是不可见、不可访问的。这减少了横向移动，进一步降低了内部威胁。

此外，我们也可以在企业外部运用零信任理念，以防范外部网络威胁和攻击。比如，移动办公的员工经常面临网络钓鱼攻击。要减少诸如此类的攻击面，我们只需做好这几项工作：主动了解数字足迹（如上所述）、监控通讯渠道以寻找攻击指标（最好结合威胁情报），以及迅速应对已识别的威胁（包括打补丁）。

https://hackernoon.com/how-do-i-adopt-the-zero-trust-framework