属于我们的{series}系列
阅读完整指南零信任架构实施:企业实用指南
传统的基于边界的安全模型——“信任网络内部的一切,阻止网络外部的一切”——从根本上被打破了。远程工作、云应用程序和移动设备已经消除了网络边界。 Forrester 的研究表明,80% 的数据泄露涉及在网络内部使用的凭据遭到泄露,而外围安全恰恰无法提供保护。
零信任用显式验证取代隐式信任。原则很简单:永远不要信任,永远要验证。每个访问请求都经过身份验证、授权和加密,无论其源自何处。本指南为各种规模的企业提供了实用的实施路线图。
零信任核心原则
原则 1:显式验证
每个访问请求都必须根据所有可用数据点进行验证:
- 用户身份(谁在请求?)
- 设备健康状况(设备是否合规?)
- 位置(这是已知位置吗?)
- 服务/工作负载(他们试图访问什么?)
- 数据分类(资源有多敏感?)
- 异常检测(此行为对于该用户来说正常吗?)
原则 2:使用最小权限访问
在所需的最短时间内授予任务所需的最低权限。
| 传统访问 | 零信任访问 |
|---|---|
| VPN 提供完整的网络访问 | 仅访问特定应用程序 |
| 默认管理员权限 | 标准用户+即时提升 |
| 一旦授予永久访问权限 | 限时会话,定期重新验证 |
| 仅基于角色的访问权限 | 基于角色+背景+风险的访问 |
原则 3:假设违规
设计系统时就好像攻击者已经在您的网络内部一样:
- 分段网络以限制横向移动
- 加密所有流量,甚至内部流量
- 持续监控异常行为
- 自动威胁响应
- 维护详细的审核日志
零信任的五个支柱
第 1 支柱:身份
身份是新的边界。每个访问决策都从验证身份开始。
实施清单:
- 为所有用户提供多重身份验证 (MFA),无一例外
- 跨所有应用程序的单点登录 (SSO)
- 适用于符合条件的应用程序的无密码身份验证(FIDO2、生物识别)
- 条件访问策略(需要新位置/设备的 MFA)
- 管理员帐户的特权访问管理 (PAM)
- 身份管理(定期访问审查、自动取消配置)
- 不可能的旅行检测(当同一用户从两个遥远的位置登录时发出警报)
第二支柱:设备
受感染设备上的经过验证的用户仍然是一个威胁。
实施清单:
- 设备库存和管理 (MDM/UEM)
- 授予访问权限之前进行设备健康评估
- 所有设备都需要加密(全盘加密)
- 操作系统和软件必须是最新的(补丁合规性)
- 端点检测和响应 (EDR) 已安装并处于活动状态
- 具有最低安全要求的个人设备策略 (BYOD)
- 在每个访问请求时检查设备合规性,而不仅仅是注册
第三支柱:网络
对网络进行分段以遏制违规行为并限制横向移动。
实施清单:
- 微分段(应用级网络策略)
- 用于应用程序访问的软件定义边界 (SDP)
- DNS 过滤以阻止已知的恶意域
- 加密内部流量(适用于所有内部 API 和服务的 TLS)
- 用于物理网络连接的网络访问控制 (NAC)
- VPN 替换为远程用户提供零信任网络访问 (ZTNA)
- 东西向交通监控(检测横向移动)
支柱 4:应用程序和工作负载
应用程序必须强制执行访问控制并保护使用中的数据。
实施清单:
- 应用级认证和授权
- API 安全(身份验证、速率限制、输入验证)
- 容器和无服务器安全扫描
- 应用程序行为异常监控
- 影子 IT 发现和治理
- SaaS 安全态势管理 (SSPM)
- 用于面向公众的应用程序的 Web 应用程序防火墙 (WAF)
支柱 5:数据
数据是最终的资产。零信任必须保护数据,无论其位置如何。
实施清单:
- 数据分类方案(公开、内部、机密、受限)
- 执行数据丢失防护 (DLP) 策略
- 静态和传输中敏感数据加密
- 所有敏感数据操作的访问日志记录
- 文档级保护的数据权限管理
- 备份加密和访问控制
- 受监管数据的数据驻留合规性
实施路线图
第 1 阶段:基础(第 1-3 个月)
快速获胜并具有高安全影响:
- 为所有用户启用 MFA(如果分阶段,请从管理员帐户开始)
- 为所有 SaaS 应用程序实施 SSO
- 在所有设备上部署端点检测和响应 (EDR)
- 为关键应用程序启用条件访问策略
- 清点所有应用程序和数据存储
预算估算: 中小企业 5000-30000 美元,中端市场 30000-150000 美元
第 2 阶段:可见性(第 3-6 个月)
1、部署东西向流量的网络监控 2. 实施身份分析(检测异常访问模式) 3. 进行数据分类练习 4. 部署云安全态势管理 5.建立安全运营监控(SIEM或同等机构)
预算估算: 中小企业 10K-50K 美元,中端市场 50K-250K 美元
第 3 阶段:执行(第 6-12 个月)
- 对关键应用程序实施微分段 2.部署ZTNA替代VPN
- 强制执行应用程序访问的设备合规性要求
- 实施机密数据的 DLP 政策 5.自动化用户配置和取消配置
预算估算: 中小企业 20K-100K 美元,中端市场 100K-500K 美元
第 4 阶段:优化(第 12-18 个月)
- 实施基于风险的自适应身份验证
- 部署自动威胁响应(SOAR)
- 将零信任扩展到 OT/IoT 设备(如果适用)
- 根据事件和审计结果持续改进 5.年度渗透测试和红队演习
零信任成熟度模型
| 能力 | 1 级:传统 | 2 级:初始 | 3 级:高级 | 4 级:最佳 |
|---|---|---|---|---|
| 身份 | 仅密码 | 管理员 MFA | 所有人的 MFA + SSO | 无密码+自适应 |
| 设备 | 没有管理 | 基本库存 | MDM + 合规性 | 持续评估 |
| 网络 | 周边防火墙 | 基本细分 | 微细分 | 软件定义 |
| 应用 | 基于网络的访问 | 单点登录集成 | 每个应用程序授权 | 持续验证 |
| 数据 | 暂无分类 | 基本分类 | DLP 政策 | 自动保护 |
| 监控 | 定期日志审查 | SIEM 部署 | 实时分析 | 人工智能驱动的响应 |
衡量零信任有效性
| 公制 | 零信任前 | 目标 | 如何测量 |
|---|---|---|---|
| MFA 报道 | 20-40% 的用户 | 100% | 身份提供商报告 |
| 平均检测时间 (MTTD) | 几天到几周 | 营业时间 | 安全监控指标 |
| 平均响应时间 (MTTR) | 天 | 营业时间 | 事件响应指标 |
| 横向移动能力 | 无限制 | 每个段包含 | 渗透测试 |
| 未经授权的访问尝试 | 未知 | 检测并阻止 | 访问日志和警报 |
| 具有访问权限的非托管设备 | 未知 | 零 | 设备合规性报告 |
相关资源
零信任不是您购买的产品,而是您随着时间的推移构建的架构。从身份开始(适用于所有人的 MFA),添加可见性(了解网络上的内容及其行为方式),然后强制执行(验证每个访问请求)。这个过程需要 12-18 个月,但安全状况的改善会立即开始。 联系 ECOSIRE 了解零信任架构评估和实施规划。
作者
ECOSIRE Research and Development Team
在 ECOSIRE 构建企业级数字产品。分享关于 Odoo 集成、电商自动化和 AI 驱动商业解决方案的洞见。
相关文章
更多来自{series}
AI代理安全最佳实践:保护自治系统
确保 AI 代理安全的综合指南,涵盖即时注入防御、权限边界、数据保护、审计日志记录和操作安全。
中小企业云安全最佳实践:无需安全团队即可保护您的云
通过 IAM、数据保护、监控和合规性的实用最佳实践来保护您的云基础设施,中小企业无需专门的安全团队即可实施这些实践。
按地区划分的网络安全监管要求:全球企业合规地图
了解美国、欧盟、英国、亚太地区和中东的网络安全法规。涵盖 NIS2、DORA、SEC 规则、关键基础设施要求和合规时间表。
端点安全管理:保护组织中的每台设备
通过针对现代员工的设备保护、EDR 部署、补丁管理和 BYOD 策略的最佳实践来实施端点安全管理。
事件响应计划模板:准备、检测、响应、恢复
使用我们完整的模板制定事件响应计划,涵盖准备、检测、遏制、根除、恢复和事件后审查。
企业渗透测试指南:范围、方法和补救措施
使用我们的业务指南规划和执行渗透测试,涵盖范围定义、测试方法、供应商选择、报告解释和补救措施。