零信任安全最佳實踐
零信任安全不是一個產品,而是一個過程。 以下是組織在實現零信任安全的過程中應遵循的六種最佳實踐。
使用多重身份驗證 (MFA) 驗證所有用戶
人們常說,零信任植根於「從不信任,總是驗證」的原則。 但是,如果實施得當,更準確的說法是,零信任植根於「從不信任,總是驗證並再次驗證」的原則。
透過使用者名稱和密碼就足以驗證使用者身分的日子已經一去不復返了。 如今,必須使用多重身份驗證 (MFA) 來強化這些憑證。 其他驗證因素可能包括以下一項或多項:
- 您知道的資訊:這可以是密碼、安全問題、PIN、郵遞區號或任何其他個人資訊。
- 您擁有的東西:通常是驗證簡訊、發送到您手機的提示、驗證器應用程式中產生的代碼、硬體令牌等。
- 你是誰:這可以是生物識別,例如指紋掃描、視網膜掃描、臉部掃描或語音。
實施零信任架構時,應使用多種因素來驗證每個存取網路的使用者(特權使用者、最終使用者、客戶、合作夥伴…)的身份。 這些因素可以根據所存取的數據/資源的敏感度進行調整。
驗證所有裝置:
驗證您的用戶是必要的,但還不夠。 零信任原則也延伸到端點裝置。 裝置驗證包括確保用於存取您的內部資源的任何裝置符合您公司的安全要求。 尋找一種解決方案,讓您能夠透過輕鬆的用戶加入和退出來追蹤和強制執行所有裝置的狀態。
實施最小特權原則
最小權限原則 (PoLP) 決定了您在零信任環境中可以存取的內容。 它基於這樣的想法:應僅授予特定使用者足夠的權限以允許他們完成特定任務。
例如,僅處理更新遺留程式碼行的工程師不需要存取財務記錄。 PoLP 有助於遏止安全隱患時的潛在損害。
最小權限存取還可以擴展到包括“及時”特權存取。 這種類型的存取將權限限制為僅在需要時的特定時間。 這包括過期的權限和一次性使用憑證。
監控和審計一切:
除了驗證和分配權限之外,您還應該監視和審查網路上的所有使用者活動。 這將有助於即時識別任何可疑活動。 可見性對於擁有管理權限的使用者尤其重要,因為他們的存取權限範圍很大,而且他們可以存取的資料很敏感。
採用基於屬性的控制:
使用基於屬性的控制項來授權對整個安全堆疊中的資源的存取 - 從雲端和本機應用程式到應用程式開發界面,再到資料和基礎設施。 這些將使管理員可以輕鬆調整和實施存取策略,以便即時阻止可疑事件。
考慮您的最終用戶:
不要讓完美成為優秀的敵人。 實施最終使用者討厭使用的完美零信任策略並不是一個很好的策略。 你們的最終用戶只是想工作。 考慮一種策略和產品,為您的團隊創造最順暢、類似軟體即服務的體驗。
反映意見