介绍
为了从零信任中获益,需要了解架构的每个组件,包括组织的用户、设备以及他们正在访问的服务和数据。
正确理解组织的资产很可能涉及资产发现阶段,这是零信任之旅的第一步。在某些环境中,可能具有挑战性,并且可能涉及使用自动化工具来发现网络上的资产。在其他情况下,可以通过遵循非技术程序(例如查询采购记录)来确定组织的资产。
了解环境中存储了哪些数据、其位置和敏感性也很重要。了解数据及其相关敏感性将有助于制定有效且适当的访问策略。
过渡到零信任
无论是从具有许多预先存在的服务的已建立系统过渡到零信任架构,还是开始全新的架构部署,资产发现都同样重要。
如果在不考虑现有服务的情况下实施零信任架构,可能面临更高的风险。这些服务可能不是为敌对的、不受信任的网络设计的,因此将无法保护自己免受攻击。
进行风险评估
一旦了解了组织的架构,就可以更好地确定新目标架构的风险并确保它们得到缓解。
在资产发现阶段之后开始进行风险评估是明智的,包括对零信任方法进行威胁建模。此评估可用于帮助组织了解正在考虑的零信任组件是否会减轻-防范所有风险。
风险缓解的程度可能取决于资产的重要性和风险偏好。因此,必须评估资产的重要性并为其提供适当的保护措施。
如果使用零信任方法无法缓解所有风险,则需要保留当前网络架构中的现有安全控制。
