【零信任】解析“零信任”策略的7要素
2021-04-21
来源: 微软科技
微软认为“零信任”是任何组织的安全计划的重要组成部分。我们与云安全联盟(一个推广云计算最佳实践的非营利组织)合作,将多名高级首席信息安全官聚集在一起,讨论并分享他们对零信任历程的见解。
在我们的第一次讨论中,我们与来自著名能源、金融、保险和制造企业的10位首席信息安全官坐在虚拟圆桌会议上,了解哪些是他们认为行之有效的,哪些是零信任安全模型仍需要调整的地方。我们的集体目标是相互学习,并与其他网络安全领域的专业人士分享。
“零信任:从不信任,永远验证。”
零信任假设所有的访问都是有风险的,并验证每一个请求,就像它始终来自一个不受控的网络一样。这意味着无论是防火墙内外、终端上、服务器上还是云中,安全防护机制永远不相信任何人或任何事件。
“零信任”策略
在您的企业中引入零信任策略需要在所有基础要素上实施管控,例如:身份、设备、应用、数据、基础设施和网络。
策略 #1 - 使用身份控制访问权限
身份代表用户、服务和物联网设备——是网络、终端和应用的共同点。在零信任安全模型中,它们作为一种强大、灵活和细化的方式来控制对数据的访问。当任何身份试图访问任何资源时,安全防护机制应通过强身份验证来验证身份,确保访问请求符合典型的身份行为,并确认该身份遵循最小权限访问原则。
策略 #2 - 提升身份认证
将多因素认证或持续认证纳入身份管理策略,可大幅改善企业的信息安全状况。一位圆桌会议的与会者分享说,通过将身份管理扩展到持续认证功能,他们的企业现在可以在用户的常用 IP 地址或常规行为模式发生变化时进行身份验证。只要能通过其他方法进行验证,并且最终用户不需要为了验证额外进行任何操作,那么就可以每隔五分钟甚至每秒钟进行一次持续验证。比如,终端可以成为多因素验证的因素之一等。
策略 #3 - 纳入无密码认证
无密码认证用两个或两个以上的验证因素取代传统密码,并以一对加密密钥来保证安全性。注册时,设备会创建一个公钥和私钥。私钥可以借助本地安全硬件来进行解锁,如常规的手机呼叫验证、PIN 码登录、生物识别认证(指纹扫描、面部识别或虹膜识别),甚至对于涉及访问及维护企业敏感信息、应用、服务和设备的员工,可以添加需要配合指纹或 PIN 使用的安全密钥或者独立的芯片卡,确保正确的人在最低权限下获取了需要的内容。
策略 #4 - 细分企业网络
网络分割可能是企业 IT 的典型痛点,因为防火墙代表着早期的分割,这会让开发和测试工作变得复杂。最终,许多 IT 团队更多依靠安全团队来解决网络连接和访问的问题。然而,分割网络并进行更深层次的网络内微观分割对于零信任来说非常重要,因为在混合办公的世界中,所有关键业务数据都是通过网络基础设施访问的。对于网络的控制起到了至关重要的作用,提高可视性并有助于防止恶意攻击者在网络中横向移动。
策略 #5 - 保护设备
在零信任策略中,访问企业数据和运行企业应用的设备无论是企业所有的还是个人所有的手机或平板电脑,也就是所谓的“员工自有设备”(BYOD),都将采用相同的安全策略。需要连接企业网络的内部员工、供应商、合作伙伴甚至访客的设备都是可以由 IT 部门完全管理的。而无论这些 PC、Mac、服务器、物联网设备、笔记本电脑、平板电脑、智能手机或可穿戴设备位于企业内部网络、企业访客网络、家庭宽带甚至在咖啡馆或者机场候机厅接入的公共互联网,都是如此。在混合办公的世界里,大量且多样性可访问企业信息的设备是最难以监管的部分。如果允许未打补丁或者有安全隐患的设备接入企业内部网络,那无疑会大大提高企业的信息安全风险。
策略 #6 - 对企业应用进行细分
要从云应用和服务中充分受益,需要在提供访问和维持控制之间找到一个平衡,以确保应用及其包含的数据受到保护。通过对应用的管控来发现影子 IT,确保适当的应用内的权限,根据实时分析结果对访问来进行把关,监控异常行为,限制用户的非常规操作,并验证安全配置选项。
策略 #7 - 定义角色和访问控制
随着远程工作的迅速普及,所有企业必须考虑寻找现代安全控制的方式。将员工在企业数字资产中需要进行的操作进行角色化的定义,并与策略联系起来,作为授权、单点登录、无密码访问的一部分是非常高效的。然而,每一个定义的角色都必须在现在和未来进行管理和维护,所以要有选择地创建多少种角色,这样就不会给后期的管理和维护工作带来繁重的工作。
迈向“零信任”的历程
在混合办公的世界中,信息安全防护方案应该从假设突破的关键零信任原则开始。但通常情况下都被复杂性和分散性阻碍了发展。我们致力于帮助所有组织解决这个问题,因为我们为所有人构建安全的环境,并从云端交付。
诚然这些都始于集成解决方案,让您的组织专注于重要的事情,并为您的所有平台和所有云中数字资产提供可视性。我们推出了一套整体方案,将最佳的 SIEM 集成体系结构和响应(XDR)工具直接构建在云中,这为您提供了最好的产品和最佳的集成体验,因此 IT 部门再也不需要通过每天“奔波”于大量的管理平台来保护企业信息安全。
使用 Microsoft Defender for Endpoint 和 Defender for Office 365 的用户可以从 Microsoft 365 Defender 门户调查和处理威胁。它提供了统一的警报、用户和调查页面,以便进行深入的自动分析和直观的可视化效果,并提供了一个新的学习中心,您可以利用具有最佳实践和操作方法的指导资源对企业信息安全进行加固。
新的威胁分析提供了一组来自 Microsoft 安全研究专家的报告,可帮助您直接在 Microsoft 365 Defender 中了解、预防和缓解威胁,如近期的 Solorigate 攻击等。
我们正在将安全核心引入 Windows Server 和边缘设备,以帮助最大限度地降低物联网和混合云环境中的固件漏洞和高级恶意软件的风险。
各企业在开始施行零信任之旅时,关注的侧重点各不相同。圆桌会议参与者所代表的一些企业从用户身份和访问管理开始了他们的零信任之旅,而其他企业则从网络宏观和微观细分或应用方面开始。这些信息安全官一致认为,制定施行零信任策略的整体战略至关重要,在整个企业中大面积推广零信任之前,应该从小处着手,建立信心。
这通常意味着需要采取分阶段的方法,根据企业“零信任”的成熟度、可用资源和优先级,针对特定领域来进行。例如,您可以从云中的新项目开始,或在开发人员和测试环境中进行前期试验。一旦您建立了信心,我们建议将零信任策略覆盖到整个企业数字财产,同时将其作为一种集成的安全理念和端到端的战略推进。在这个旅程中,您并不孤单。成功的企业已经走过了这条道路,我们很高兴与您一起走过每一步。