循序渐进!开展零信任建设时应做好的16项准备

admin 2022年4月29日19:20:29云安全评论9 views2594字阅读8分38秒阅读模式
循序渐进!开展零信任建设时应做好的16项准备

点击上方蓝字关注我们测评你的薪资


关注用户弹出对话框开始测评
循序渐进!开展零信任建设时应做好的16项准备
已关注用户点击下方即可测评

循序渐进!开展零信任建设时应做好的16项准备


循序渐进!开展零信任建设时应做好的16项准备


企业应该如何建立高效、安全的零信任体系呢?以下梳理了开展零信任建设时需要做好的16项准备工作。

循序渐进!开展零信任建设时应做好的16项准备


近年来,越来越多的企业准备采用零信任架构来实现更好的安全防护。对于许多企业来说,零信任的建设需要全面改变架构、流程和安全意识,这不是一蹴而就的改变,而是一个循序渐进的过程。

那么,企业应该如何建立高效、安全的零信任体系呢?以下梳理了开展零信任建设时需要做好的16项准备工作。

1. 识别数据资产

公司应考虑的第一步是了解企业目前的数据资产,特别是非结构化数据,以提高数据安全性。只有充分掌握了数据资产情况,并了解数据的类型及存储位置,才可以对如何保护数据做出明智的决定,从而打造高效的零信任环境。如果你不知道自己拥有什么数据或存储在哪里,有效保护数据将无从谈起。

2. 培养零信任企业文化

如果使用零信任安全以后,企业员工的安全意识却没有同步提升,这项技术的应用效果将难以充分发挥。将企业的安全防护与员工安全意识实现挂钩,对于提高零信任应用效率至关重要。公司必须注重培养一种倡导透明、信任和开放沟通的企业文化,辅以持续培训和相应技术手段,才可以有效提升员工的安全意识,全面防御所有攻击面。

3. 改造现有的权限访问

零信任建设早期的一种常见方式就是评估企业目前的安全状况,并让所有员工开始使用最低权限访问。此外,企业要能够对数据进出访问进行控制,并拥有必要的安全工具,比如安全信息和事件管理系统,用于取证分析研究。

4. 评估权限策略

由于零信任需要为用户提供执行工作所需的最低权限,因此其有效实施的基础是对权限进行合理评估,这包括了解现有权限、微调现有权限以满足公司的目,以及制定访问管理策略。一旦掌握了这些信息,就可以开始选择相应的实现技术。

5.合理规划建设预期

大多数供应商都声称可提供完整的零信任安全解决方案,但事实上没有哪款产品能做到。零信任是一种理念,企业需要明确验证身份、位置、设备运行状况、服务及/或工作负载,旨在出现违规行为时尽量减小影响、划分访问范围。成功的零信任安全项目大都从身份管理、多因子身份验证和最低权限访问等角度入手,逐步建设完善。

6. 确保访问设备的可用性

准备建设零信任的企业需确定哪些已有访问控制设备仍可用、哪些不可用,这样才可以在零信任建设时明确定义访问方法,建立强壮的验证机制,并有效保护允许访问零信任环境的端点。

7.提前考虑用户体验

安全和用户体验常常相冲突,但是不一定非得这样。在敲定零信任安全流程、制定策略和明确需求之前,考虑用户活动范围变化和体验。推出零信任新模式后,要考虑如何传达体验方面的优势(比如无密码单点登录),而不是一味关注安全方面的优势。

8.全面了解攻击面

对攻击面的了解是保证零信任持续保护用户、网络和应用程序的前提。首先,企业要列出一份最新的内外应用程序清单和软件材料清单,然后利用这些信息制定一项持续且自动化的应用程序计划。

9. 及时了解业务需求

有效实施零信任模式需从业务需求入手。询问要保护什么资产、为何保护,来确定哪些方面采用零信任技术能更有效提高安全能力,这最终将支持企业的零信任战略。

10. 梳理当前的访问权限

企业建立零信任策略的第一步是,了解员工和服务账户权限的现状。深入审查企业的所有访问权限有助于查明哪里的潜在威胁最大,以便在零信任建设时考虑如何应对。

11.选择合适的零信任框架

一套定义明确的零信任框架是实现高效零信任的关键要素,这样安全团队可以地轻松将正确的安全控制融入到软件开发流程中,并确保其可以融入到统一的安全管理平台中,云原生环境下尤为如此。在建设过程中,安全团队不应该再需要重新定义零信任,而是应对使用哪些软件控制机制、要遵守哪些约定等了然于胸。

12.将加密与细粒度访问控制相结合

网络分段和访问控制在零信任应用中都是很常见的。通过端到端加密和访问控制的结合,可以更好地实现零信任数据安全。

13. 确保不影响生产

零信任建设需要能帮助企业提高生产力而不是妨碍生产。当网络安全保护机制影响了员工工作时,就需要企业及时调整策略,在信任员工的同时,赋予员工可以访问完成工作所需的应用程序和数据的适当权限。

14.了解应用系统的风险

与边界防护的传统策略相比,在构建零信任时企业需明确系统风险概况,并针对具体的应用程序来调整安全方法。基于边界的策略假设任何获准穿越防护都可以访问里面的资源。然而,零信任是确保即使有权在企业内部访问,企业内的每个访问点仍另有安全核查机制。

15. 掌握访问网络的所有设备

掌握访问网络的每个设备是建立零信任环境的最大挑战之一。组织面临的最大风险之一是连接到网络的个人(设备),因为他们通常是网络钓鱼攻击或社会工程攻击的主要目标。零信任环境下疏忽任一个设备,都可能导致安全漏洞被利用。

16.持续关注零信任技术的发展

迁移到零信任需要慎重规划,尽早定义需要保护的关键资产和基础设施很重要。现有系统和零信任环境需要时间磨合才能共存,且对于大多数企业来说,不会是一次性升级。目前零信任技术仍在快速成长,持续了解零信任技术和解决方案的发展对于长期保护投资很重要。

参考链接:

https://www.forbes.com/sites/forbestechcouncil/2022/04/18/16-essential-early-steps-in-creating-an-effective-zero-trust-environment/?sh=11d1e5994792

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安圈评立场,转载目的在于传递更多信息。如有侵权,请联系微信。




循序渐进!开展零信任建设时应做好的16项准备



循序渐进!开展零信任建设时应做好的16项准备
循序渐进!开展零信任建设时应做好的16项准备

安圈评现有人才资源群,有公司招聘和人员求职

高端人才共享群:①②③④

区域人才共享群:华南、华中、华东、西南、西北、东北、京津冀①②

进群请扫下方二维码 (备注公司全称+姓名)

如需发布公司招聘信息,请联系微信

找工作的小伙伴也可以联系我们哦(求职信息会在保护个人信息的前提下发布

循序渐进!开展零信任建设时应做好的16项准备




循序渐进!开展零信任建设时应做好的16项准备

往期推荐

揭秘:俄乌冲突一线的美国网络防御支援小组

国务院:不符合网络安全要求的政务信息系统未来将不给经费

俄罗斯多个联邦政府网站遭遇供应链攻击:显示篡改内容

针对乌克兰的数据擦除攻击盛行!第四个新样本被发现


循序渐进!开展零信任建设时应做好的16项准备

点个在看你最好看


原文始发于微信公众号(安圈评):循序渐进!开展零信任建设时应做好的16项准备

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月29日19:20:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  循序渐进!开展零信任建设时应做好的16项准备 http://cn-sec.com/archives/963084.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: