长期以来,政府和相关企业组织对零信任建设存在诸多问题和担忧,阻碍了零信任技术的应用。为此,美国国家安全电信咨询委员会(NSTAC)2021年底,美国政府提交了《零信任和可信身份管理报告》(以下简称《报告》)。本报告详细回顾了零信任发展史,梳理了零信任实施中面临的关键挑战和要求,以及企业组织在零信任建设中需要特别关注的八个要点。
要点1:零信任需要长期承诺
该报告认为,确认零信任是一项变革性的工作,政府和其他组织需要承诺至少十年的投资。这包括改变行业和组织政策,以促进零信任文化,并开始从根本上重新设计组织的技术体系结构。该报告提醒用户要小心那些声称可以在一夜之间实现零信任的制造商。
要点2:使用可靠的零信任指导
如果您想了解零信任,请参阅已发布的指南和出版物。《NIST 800-207:零信任架构》、美国国防部《零信任参考架构》、美国国家安全局(NSA)拥抱零信任安全模型(CISA) 零信任成熟模型和美国行政管理和预算局(OMB)联邦零信任战略等。
要点3:制定科学实施计划
与任何其他长期战略项目一样,零信任项目也需要在建设前制定科学的实施计划。NSTAC该指南列出了实施零信任的五个步骤:定义保护范围、映射事务流、构建零信任架构、制定零信任策略、监控和维护网络。这不仅强调了实施零信任是一个耗时的迭代过程,也暗示了零信任可以轻松获得的错误观点。
要点4:零信任战略符合合规要求
促进零信任是一个繁琐的过程,需要投入资金、时间和人力。孤立实施零信任只会增加工作量。报告强调,有必要明确零信任战略和现有合规要求,并确保两者一致。如果两者不一致,组织注定会失败。随着组织开始重新设计系统和网络架构,以适应零信任,可能需要再次做好合规和授权工作。如果在这种情况下不实施自动化,组织将厌倦同时进行的两项工作。
要点5:设立零信任项目办公室
该报告的另一个重要建议是设立零信任项目办公室,并在关键领域尝试使用共享服务。美国国防部最近宣布设立零信任项目办公室。NSTAC呼吁联邦政府效仿,成立专门的部门来管理实施指南、结构和战略手册。这样,政府部门就可以加快在零信任方面的独立工作。商业组织(企业界),特别是不同业务部门经常有自己的大型企业,可以像政府部门一样设立零信任项目办公室。
要点6:使用云服务加快零信任的使用
云服务也离不开促进零信任。NSTAC云服务的更快使用将大大加快联邦机构的零信任,其优势涉及数据、身份和自动化。云的使用也可以帮助机构和组织应对远程员工的增长。
要点7:有效的身份管理是零信任成功的关键
该报告还强调了有效身份管理对零信任的重要性,包括个人身份和非个人实体身份的管理。该报告强调,需要这样的现代身份管理解决方案,即与组织所处的现代云本地和远程员工环境一致的身份管理解决方案,详见《NIST 800-63-3:数字身份指南。
要点8:为某些功能共享安全服务
除设立集中式项目办公室外,报告还建议为特定功能共享安全服务(如可访问互联网的资产发现)。NSTAC报告指出,各种解决方案不仅导致管理的复杂性,而且使最终用户在集成和磨合方面面临挑战,这无疑阻碍了零信任的实施。IT网络安全共享服务可以给机构和组织带来成本/许可效率、可见性和效率。
参考链接:https://www.csoonline.com/article/3652339/8-takeaways-for-cisos-from-the-nstac-zero-trust-report.html