零信任采用:行业特有的挑战和实施方案
发布时间:2022-06-21 15:43:25 所属栏目:安全 来源:互联网
导读:行业专家表示,根据与多家企业的首席信息安全官(CISO)和首席信息全官(CIO)合作的经验,实现零信任的道路通常并不像人们想象的那样容易。而为了实现基于零信任的安全性,需要专门的人员、广泛的利益相关者之间达成一致意见,并采用适当的预算,有效迈向零信任
|
行业专家表示,根据与多家企业的首席信息安全官(CISO)和首席信息全官(CIO)合作的经验,实现零信任的道路通常并不像人们想象的那样容易。而为了实现基于零信任的安全性,需要专门的人员、广泛的利益相关者之间达成一致意见,并采用适当的预算,有效迈向零信任模式的唯一方法是迭代地进行。 为什么通往零信任的道路如此艰难? 业界人士对于零信任已经讨论了很长一段时间,但许多企业尚未实施。要记住的一件事是,零信任不是一种工具,而是一组概念和想法,用于强制执行最低特权访问。 零信任模型为企业提供了一个全局策略,这使得它具有挑战性,因为企业的部门通常是分散的,不同的部门负责不同的网络安全控制措施。在企业中实现零信任的唯一方法是获得自上而下的支持和领导,然后需要在所有部门之间建立这种协作。企业必须让所有团队和利益相关者在某一方面达成一致。 如何才能在企业中获得对零信任模型的支持和管理? 零信任模型必须定位为支持业务,特别是检查自动化技术可以在哪些方面减少摩擦,并实现更敏捷、更高效的业务。如果企业目前没有可用于自动化关键安全功能的技术能力,例如用户生命周期的自动化、配置和其他安全功能,那么需要首先专注于构建这些基础功能,然后才能实施零信任. 行业专家所看到的工作是通过迭代过程将其分解为阶段/步骤,并确定快速获胜的领域。例如,企业在哪里还存在重大风险,如何将这些风险降到最低?解决这一问题的方法包括分割最敏感的网络和实施身份访问管理,需要逐步地实现。当然,所有这些措施都必须对业务/用户透明。 哪些行业或企业处于领先地位并取得了进展,而其他行业或企业才刚刚起步? 在这一过程中比较领先的企业通常是金融机构和政府授权的企业。 金融公司拥有必须保护的敏感数据,并且(与其他垂直行业的企业相比)拥有更高水平的网络安全成熟度、资源和团队。许多其他行业组织可能仍然专注于基础知识,而金融机构拥有足够的带宽和资金来继续发展和改进其网络安全计划。 根据美国去年发布的关于改善国家网络安全的行政命令,政府部门被要求转向零信任模式。现在,企业的每个部门都专注于改变他们对资产、身份以及这些用户和资产所运行的网络的明确信任的方法。 美国设定2024年的最后期限是否现实?如果在这个期限之前实施,关键基础设施应该有什么样的要求? 当涉及到实施零信任的时间表以及《运营指令》中规定的2024年机构截止日期时,最大的问题是: 最后,这意味着必须制定标准以建立对风险评分的共同理解和解释,以便不同供应商的解决方案可以共享安全态势和信任相关信息,以便通过策略执行点做出访问决策。这些分布式风险评估和编排功能将在未来几年内继续成熟和发展。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号