《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 【零信任】零信任成熟度自測(cè)表:你們公司處于哪個(gè)等級(jí),?

【零信任】零信任成熟度自測(cè)表:你們公司處于哪個(gè)等級(jí),?

2021-04-15
來(lái)源: 白話(huà)零信任
關(guān)鍵詞: 零信任

  零信任架構(gòu)分為身份,、設(shè)備,、企業(yè)應(yīng)用,、基礎(chǔ)設(shè)施,、數(shù)據(jù),、網(wǎng)絡(luò)等六個(gè)部分,,如下圖,。如果一個(gè)公司的這六個(gè)部分都滿(mǎn)足零信任的要求,,那么可以說(shuō)這個(gè)公司的架構(gòu)是滿(mǎn)足零信任理念的。

  微信圖片_20210415165242.png

  零信任不是單一新技術(shù),,而是集成了很多現(xiàn)有技術(shù)的新架構(gòu),。你的公司可能已經(jīng)擁有了部分零信任元素。

  怎么確定公司已經(jīng)做了什么,,還需要做什么呢,?你可以對(duì)比下面這份微軟總結(jié)的自測(cè)表,看看公司在零信任視角下處于哪個(gè)階段,。

  1.身份

 ?。?)內(nèi)部用戶(hù)(員工)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)是否需要進(jìn)行“多因子認(rèn)證”?

 ?。?)外部用戶(hù)(第三方)訪(fǎng)問(wèn)業(yè)務(wù)系統(tǒng)是否需要進(jìn)行“多因子認(rèn)證”,?

  (3)內(nèi)部用戶(hù)是否允許單點(diǎn)登錄,?

 ?。?)外部用戶(hù)是否允許單點(diǎn)登錄?

 ?。?)身份管理系統(tǒng)部署在云端還是內(nèi)網(wǎng),?

  (6)企業(yè)資源(服務(wù)器,、數(shù)據(jù)庫(kù),、SaaS應(yīng)用、內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)等)是否有專(zhuān)門(mén)的安全策略引擎做訪(fǎng)問(wèn)控制和攔截,?

 ?。?)用戶(hù)登錄時(shí),是否做了賬號(hào)被竊取風(fēng)險(xiǎn)檢測(cè)?

 ?。?)對(duì)用戶(hù)的各類(lèi)風(fēng)險(xiǎn)因素,,是否做了持續(xù)的動(dòng)態(tài)評(píng)估?

 ?。?)身份和訪(fǎng)問(wèn)控制系統(tǒng)是否集成了統(tǒng)一安全代理,、日志審計(jì)警報(bào)、終端防護(hù),、設(shè)備管理,、安全策略管理等功能?

 ?。?0)訪(fǎng)問(wèn)策略中是否包含如下內(nèi)容——用戶(hù),、設(shè)備、應(yīng)用,、網(wǎng)絡(luò),、位置、用戶(hù)風(fēng)險(xiǎn)等級(jí),、登錄風(fēng)險(xiǎn)等級(jí),?

       2.設(shè)備

  (1)身份管理系統(tǒng)中關(guān)聯(lián)了設(shè)備信息,?

 ?。?)內(nèi)部用戶(hù)的設(shè)備是否受移動(dòng)設(shè)備管理系統(tǒng)的管控?

 ?。?)對(duì)受控設(shè)備授予訪(fǎng)問(wèn)權(quán)限之前,,是否進(jìn)行了配置的合規(guī)性檢測(cè)?

 ?。?)是否考慮到了非受控設(shè)備連接公司資源的場(chǎng)景,?

  (5)外部用戶(hù)的設(shè)備是否受移動(dòng)設(shè)備管理系統(tǒng)的管控,?

 ?。?)是否對(duì)所有設(shè)備強(qiáng)制執(zhí)行數(shù)據(jù)防泄密措施?

 ?。?)是否通過(guò)終端威脅檢測(cè)工具進(jìn)行實(shí)時(shí)的設(shè)備風(fēng)險(xiǎn)評(píng)估,?

  3.企業(yè)應(yīng)用

  (1)是否做了基于策略的應(yīng)用訪(fǎng)問(wèn)控制,?

 ?。?)是否對(duì)所有流量進(jìn)行了威脅監(jiān)控?

 ?。?)內(nèi)網(wǎng)的敏感應(yīng)用和資源是允許通過(guò)VPN或?qū)>€(xiàn)訪(fǎng)問(wèn),?

 ?。?)是否存在未經(jīng)批準(zhǔn)擅自運(yùn)行的應(yīng)用?是否在不斷發(fā)現(xiàn),、檢測(cè)這些影子IT的風(fēng)險(xiǎn)?

 ?。?)是否持續(xù)監(jiān)控所有文件的上傳,、下載?

 ?。?)是否具備根據(jù)用戶(hù)風(fēng)險(xiǎn)做細(xì)粒度訪(fǎng)問(wèn)控制的能力,?(可見(jiàn)性控制、只讀,、阻斷)

 ?。?)是否只給用戶(hù)授予了工作必須的最小權(quán)限?

  4.基礎(chǔ)設(shè)施

 ?。?)如果有多云或者混合云架構(gòu)的話(huà),,是否做了統(tǒng)一的防護(hù)方案?

 ?。?)是否對(duì)不同應(yīng)用的流量做了標(biāo)識(shí)和區(qū)分,?

  (3)是否隔離了“用戶(hù)到服務(wù)器”和“服務(wù)器到服務(wù)器”的訪(fǎng)問(wèn),?

 ?。?)安全團(tuán)隊(duì)是否有針對(duì)終端的特殊類(lèi)型攻擊的檢測(cè)工具?

 ?。?)安全團(tuán)隊(duì)是否有多來(lái)源安全事件的統(tǒng)計(jì)分析工具,?

  (6)安全團(tuán)隊(duì)是否使用用戶(hù)行為分析工具檢測(cè)發(fā)現(xiàn)威脅,?

 ?。?)安全團(tuán)隊(duì)是否使用應(yīng)急響應(yīng)工具減少威脅響應(yīng)的人工成本?

 ?。?)是否定期(至少每半年)檢查管理員的管理權(quán)限是否合理,?

  (9)是否只授予了管理員管理服務(wù)器及其他基礎(chǔ)設(shè)施的最小權(quán)限,?

  5.數(shù)據(jù)

 ?。?)訪(fǎng)問(wèn)授權(quán)是基于數(shù)據(jù)敏感度的,而不是簡(jiǎn)單的基于網(wǎng)絡(luò)邊界的,?

 ?。?)企業(yè)是否定義了數(shù)據(jù)分類(lèi)方法?

 ?。?)數(shù)據(jù)訪(fǎng)問(wèn)的授權(quán)是否受策略控制,?是否由云安全策略引擎執(zhí)行,?

  (4)數(shù)據(jù)是否由機(jī)器學(xué)習(xí)模型進(jìn)行分類(lèi)和標(biāo)記,?

 ?。?)是否持續(xù)去發(fā)現(xiàn)所有數(shù)字資產(chǎn)中的敏感數(shù)據(jù)?

     6.網(wǎng)絡(luò)

 ?。?)網(wǎng)絡(luò)是否做了分段,,以防止橫向攻擊?

 ?。?)是否有防火墻,、DDoS防護(hù)、Web防火墻等網(wǎng)絡(luò)保護(hù)措施,?

 ?。?)是否建立安全的管理訪(fǎng)問(wèn)權(quán)限以保護(hù)網(wǎng)段?

 ?。?)是否使用證書(shū)對(duì)所有網(wǎng)絡(luò)通信(包括服務(wù)器對(duì)服務(wù)器)進(jìn)行加密,?

  (5)是否使用了基于機(jī)器學(xué)習(xí)的威脅防護(hù)和基于上下文的安全過(guò)濾,?

  根據(jù)公司架構(gòu)是否滿(mǎn)足上述問(wèn)題,,可以算出公司在各個(gè)方面的得分。根據(jù)總得分不同,,零信任成熟度模型將企業(yè)實(shí)施零信任的路徑分為三個(gè)階段:

  微信圖片_20210415165405.png

  1,、傳統(tǒng)階段:大多數(shù)企業(yè)處于這個(gè)階段,還未開(kāi)始零信任建設(shè),。身份認(rèn)證依靠靜態(tài)規(guī)則,,網(wǎng)絡(luò)存在較大風(fēng)險(xiǎn),設(shè)備,、云環(huán)境等不可控,。

  2、高級(jí)階段:剛開(kāi)始零信任建設(shè),,在幾個(gè)關(guān)鍵領(lǐng)域取得了成果,。有多種身份驗(yàn)證手段,有細(xì)粒度訪(fǎng)問(wèn)控制,,設(shè)備按策略管理,,網(wǎng)絡(luò)做了分段,開(kāi)始對(duì)用戶(hù)行為和威脅進(jìn)行分析,。

  3,、最優(yōu)階段:貫徹了零信任理念,安全方面有很大提升,。實(shí)時(shí)分析身份可信級(jí)別,,動(dòng)態(tài)授予訪(fǎng)問(wèn)權(quán)限,,所有訪(fǎng)問(wèn)都是加密的、可追蹤的,,網(wǎng)絡(luò)不默認(rèn)授予信任,,自動(dòng)檢測(cè)威脅自動(dòng)響應(yīng)。

  改進(jìn)措施

  對(duì)照上文的自測(cè)表,,可以找到差距,。要彌補(bǔ)差距,如下技術(shù)是一定要優(yōu)先實(shí)施的,。

  1、強(qiáng)認(rèn)證,。確保以強(qiáng)大的多因素身份驗(yàn)證和風(fēng)險(xiǎn)檢測(cè)作為訪(fǎng)問(wèn)策略的基礎(chǔ),,最大程度地減少身份泄露的風(fēng)險(xiǎn)。

  2,、基于策略的自適應(yīng)訪(fǎng)問(wèn)控制,。為企業(yè)資源定義訪(fǎng)問(wèn)策略,使用統(tǒng)一的安全策略引擎實(shí)施這些策略,,監(jiān)控并發(fā)現(xiàn)異常,。

  3、微隔離,。使用軟件定義的微隔離,,從集中式網(wǎng)絡(luò)邊界管理轉(zhuǎn)型為全方位的網(wǎng)絡(luò)隔離管理。

  4,、自動(dòng)化,。開(kāi)發(fā)自動(dòng)警報(bào)和響應(yīng)措施,減少平均響應(yīng)時(shí)間,。

  5,、威脅情報(bào)和AI。綜合各個(gè)來(lái)源的信息,,實(shí)時(shí)檢測(cè)和響應(yīng)異常訪(fǎng)問(wèn)行為,。

  6、數(shù)據(jù)保護(hù),。發(fā)現(xiàn),、分類(lèi)、保護(hù)和監(jiān)視敏感數(shù)據(jù),,最大程度地減少惡意的或意外的滲透風(fēng)險(xiǎn),。

    總結(jié)

  零信任安全模型是當(dāng)下最有效的一種安全架構(gòu)。大多數(shù)企業(yè)都應(yīng)該分階段地,,根據(jù)零信任的成熟度,、可用資源和優(yōu)先級(jí)來(lái)逐步建設(shè)零信任安全,。

  建設(shè)零信任的道路上,向前邁出的每一步都是一個(gè)新的高度,。



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話(huà):010-82306118,;郵箱:aet@chinaaet.com。