跳转到主要内容
突破边界,为业务赋能——《零信任戒律》中文版正式发布!

突破边界,为业务赋能——《零信任戒律》中文版正式发布!

2022年9月14日 60次秝妤

 

“永不信任,始终验证”是零信任架构(ZTA)的设计原则。

 

2022年9月6日19:30pm,The Open Group 《发布时刻》系列网络研讨会正式发布了《零信任戒律》中文版。该指南阐释了零信任不是一种技术,而是一种安全框架和理念,通过对零信任安全的背景、定义及发展历史进行介绍,引入成熟度模型,完成零信任的落地实施指引,帮助读者加深了对这一概念的深度理解,也为其最佳实践提供了指引。

 

发布物获取方式

 

The Open Group会员可点击此处,登陆官网图书馆免费下载。

 

非会员的读者可扫描二维码,登陆The Open Group官方微店购买电子书。

 

让我们一起来回顾活动的精彩时刻吧!

 

 

 

本期发布物:《零信任戒律》

 

本文档的受众是商业、安全和IT领域的领导者,即高管们。

 

零信任戒律建立在零信任核心原则之上,提出了一份不可协商的零信任标准清单。把这个清单放在一起时,我们想清楚地定义什么是零信任、什么不是。有了明确的定义,社区就可以开始构建遵守这些戒律的框架和解决方案。

 

在理想的情况下,这些戒律经得起时间的考验。确保这种长期性的一个重要组成部分是将戒律作为可以测试的断言,缺少任何戒律标记都会反映对我们所看到的零信任定义的偏离。实际上,组织经常做出不遵循这些戒律的决定,即便这些戒律旨在指导所有当前和未来的决定。因此,我们相信零信任最终是一种业务赋能者,如何理解并落地这些戒律,也就成为了企业的重中之重。

 

发布嘉宾

姚凯/CIO /天邦股份

获得中欧国际工商学院MBA学位,持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP、CEH、CIPT、CIPM、CIPP/US和EXIN DPO等认证。现任天邦食品有限公司CIO职务,负责IT战略规划、政策程序制定、IT架构设计及数字化推进工作。是ISACA、(ISC)2和IAPP协会的会员。

 

精彩时刻

 

从“零信任”的定义入手,姚凯老师用生动形象的语言介绍了这一架构的发展历程,使得大家对其有了更为全面的了解,进而延伸至“零信任戒律”,强调零信任是产品、是服务,更是一系列概念和思想。

 

 

以下为主题演讲以及互动答疑的部分精华内容,enjoy:

 

随着云计算、物联网以及移动办公等新技术和新应用的兴起,企业的业务架构和网络环境也随之发生了重大的变化,给传统边界安全理念带来了新的挑战。

 

新冠疫情以来,远程办公、多方协同办公等成为常态,但同时带来了访问需求复杂性变高和内部资源暴露面扩大的风险,各种设备、各种人员接入带来了设备、人员的管理难度提升和不可控安全因素增加的风险,高级威胁攻击带来了边界安全防护机制被突破的风险,这些都对传统的边界安全理念和防护手段提出了挑战。

 

零信任架构重新评估和审视了传统的边界安全架构,并给出了三个基本思路:应该假设网络自始至终充满外部和内部威胁,不能仅凭网络位置来评估信任;默认情况下不应该信任网络内部或外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础;访问控制策略应该是动态的,基于设备和用户的多源环境数据计算得来。

 

边界已经成为过去,我们正在走进全面接受和实施零信任的时代。

 

互动答疑

 

Q1.如何看待零信任理念的提出?

 

A1: 安全就是不断进行攻防博弈和攻防态势的不断变化。

 

在边界安全模型中,网络位置决定了信任程度。在安全区域边界外的用户默认是不可信的(不安全的),边界外用户想要接入边界内的网络需要通过防火墙等安全机制;安全区域内的用户默认都是可信的(安全的),对边界内用户的操作不再做过多监测。但是这导致每个安全区域内部存在过度信任的问题。

 

新冠疫情以来,远程办公、多方协同办公等成为常态,带来了访问需求复杂性变高和内部资源暴露面扩大的风险,各种设备、各种人员接入带来了设备、人员的管理难度和不可控安全因素增加的风险,高级威胁攻击带来了边界安全防护机制被突破的风险,传统的“纵深防御+边界防护”这类基于边界的安全防护体系因为边界的模糊而渐渐失效,难以适应企业的快速增长及业务的快速变化。这些都对传统的边界安全理念和防护手段提出了挑战,市场亟需有更好的安全防护理念和解决思路。

 

Q2.零信任是没有信任吗?

 

A2:零信任中的“零(Zero)”可能会引起歧义。零并不是字面上的没有信任,而是关于“零”固有的或隐含的信任。零信任是指谨慎地建立信任基础,提升信任,最终在预设的时间内允许合理级别的访问。也许称零信任为“赢得信任(Earned Trust)”或“零隐式信任(Zero Implicit Trust)”更为合适。

 

Q3.零信任戒律是产品选项的标准吗?

 

A3: 现在市场上有不少产品自诩是零信任产品,但零信任本身更多指的是一组理念。零信任戒律就是这样一些标准,我们可以遵循这些标准构建框架和解决方案。对于这些原则,一部分可以在产品设计中体现,一部分则需要我们的管理变更。零信任的实施不是一两个产品的部署,更多是观念上的变化。