启用“零信任”模型前需要解决的6个问题

一旦确定了战略网络段或应用程序技术架构组件，就可以建立对网络流量和行为的深入审查，而不必担心淹没在海量数据中，因为你只需要从有限的网段中获取数据即可。但是，一般而言，在监控网段时你需要积极一点，以便安全架构师可以跟踪攻击者和员工行为，并帮助改进安全规则和流程以跟上网络发展的步伐。

5. 添加多因素身份验证

零信任最大的改变在于将执行机制从单一的网络边界转移到每个目标系统和应用程序。其重点是验证用户的身份以及他们所使用的设备，而不是基于某人是否从受信或不受信的网络中访问企业资源的安全策略。

如果对每个网段的身份验证是整个网络安全的关键，那么身份验证过程就变得至关重要。这里所说的用户身份验证是指强化您所使用的因素，并添加其他因素以使用户身份识别变得更加确定。

针对用户所用密码的调查结果总是不可避免地令人失望，像“12345”或“qwerty”这样的字符串始终位于最常用密码列表的顶部。因此，第一项任务就是为组织中的每个人建立强密码策略，然后切实地执行这些策略。

接下来的任务就是添加多因素身份验证。如今，多因素身份验证正变得越来越普遍，但要知道它可是从几乎为0的市场渗透率发展起来的，因此许多公司非常愿意尝试任何比传统用户名/密码更强大的身份验证方式来强化自身网络安全。

6. 保持技术更新

没有任何安全模型可以一成不变，成为“设置完就忘记”的存在。零信任安全当然也不例外，相反地，它可能算是最不应该被忘记的安全模型之一。这是因为当身份验证在整个方案中发挥如此重要的作用时，跟上威胁发展步伐并了解其如何试图阻止身份验证方案至关重要。

除了身份验证问题之外，安全专业人员还需要及时了解用于横向移动和绕过网络分段的威胁及机制。在网络安全的世界中，没有人可以假设当前运行的方法和技术可以始终有效，因此安全从业人员需要跟上行业发展趋势，并且花时间分析监控中捕获的事件，以查看网络分段中哪些地方已被攻击者试探，以及哪些地方极有可能被攻击者攻破。

毫无疑问，零信任安全可以成为信息和资产安全的基础。但仅仅因为一种方法是有效的，并不意味着它就可以在未经慎重思考和规划的情况下投入使用。企业需要根据自身情况考量上述问题，提前做好计划，并且记住最重要的一点——不要信任任何人!

经典企业实践案例：BeyondCorp

作为零信任网络的先行者，谷歌花了6年时间才从其VPN和特权网络访问模式迁移到BeyondCorp零信任环境。期间谷歌不得不重新定义和调整其职位角色及分类，建立起全新的主控库存服务以跟踪设备，并重新设计用户身份验证及访问控制策略。从2014年起，Google连续在《login》杂志上发表了6篇BeyondCorp相关的论文，全面介绍BeyondCorp和Google从2011年至今的实施经验。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!