對(duì)于我們?nèi)魏稳藖碚f，兒童就是我們“最關(guān)鍵的資產(chǎn)”。為了給與他們妥善的保護(hù)，我們一直在努力了解他們?cè)谀睦镆约八麄冊(cè)谧鍪裁?，尤其是在令人煩惱的青少年時(shí)期。我們還會(huì)采取措施保護(hù)他們度過童年的地方。我們安裝了攝像頭、鎖和警報(bào)系統(tǒng)來監(jiān)控他們的活動(dòng)，并保護(hù)外圍安全，確保我們最寶貴的“內(nèi)部人員”不會(huì)脫離“安全圍欄”。這些概念并不新鮮;它們只是我們所生活的世界的產(chǎn)物。

對(duì)于嘗試保護(hù)任務(wù)關(guān)鍵數(shù)據(jù)的組織而言，這些概念同樣適用。客戶信息、商業(yè)秘密和健康記錄都屬于組織擁有的最敏感信息，但我們往往沒有像對(duì)待家人那樣給與它們同樣的保護(hù)。

進(jìn)入“零信任 （Zero Trust）”

重大數(shù)據(jù)泄露事件及全球性法規(guī)的增多，可能會(huì)導(dǎo)致組織遭受數(shù)百萬美元的業(yè)務(wù)損失和/或罰款。為此，企業(yè)已經(jīng)開始實(shí)施有助于減緩這些潛在風(fēng)險(xiǎn)的框架，其明確目標(biāo)便是保護(hù)其敏感數(shù)據(jù)。零信任便是這些框架之一。

零信任 （Zero Trust） 是以不信任任何人這個(gè)概念為基礎(chǔ)而建立的一種靈活安全框架。以前的安全模型專注于 IT 外圍，但是隨著企業(yè)向混合多云環(huán)境的轉(zhuǎn)變、自帶設(shè)備 （BYOD） 模型的增多，以及員工和承包商的混合使用，單單保護(hù)外圍安全已然不夠。相反，采用零信任戰(zhàn)略的組織可以保護(hù)需要正確訪問數(shù)據(jù)的人員、

需要管理的安全設(shè)備，并實(shí)施分析和響應(yīng)機(jī)制，確保安全分析人員對(duì)其環(huán)境具有完全的可視性。

重新思考外圍保護(hù)，提升數(shù)據(jù)安全性

數(shù)據(jù)是 IT 環(huán)境中所有事物的基礎(chǔ)，但在面向外部的領(lǐng)域（如端點(diǎn)、網(wǎng)絡(luò)和應(yīng)用） 中，安全性經(jīng)常會(huì)被忽略。組織使用傳統(tǒng)的安全方法在網(wǎng)絡(luò)周圍建立“圍墻”， 并檢查進(jìn)出圍墻的每個(gè)人員，這對(duì)于當(dāng)今企業(yè)而言，并不是一種妥善的做法。

相反，零信任框架和架構(gòu)方法的特征是微外圍（比如將房屋的大門鎖上，然后關(guān)上孩子臥室的門）和微分段（比如只有祖父母和可信賴的鄰居才能擁有房屋的鑰匙和警報(bào)代碼;管道修理工只有在您在家時(shí)才能進(jìn)入房屋）。通過實(shí)施這兩個(gè)原則，組織便可控制誰可以從哪個(gè)設(shè)備和哪個(gè)網(wǎng)絡(luò)訪問哪些數(shù)據(jù)。

在采用“零信任”方法時(shí)，安全架構(gòu)的起點(diǎn)必須從底層開始，并逐步向上發(fā)展到IT 堆棧（比如在數(shù)據(jù)層進(jìn)行微分段和微外圍），然后將信息用作移動(dòng)到框架外部區(qū)域時(shí)的情境。沒有堅(jiān)實(shí)的基礎(chǔ)，您就無法建造堅(jiān)固、美麗的房子。

成功實(shí)現(xiàn)零信任的四個(gè)步驟

1. 定義信任

構(gòu)建牢固框架的第一步是針對(duì)組織所擁有的敏感數(shù)據(jù)及其所在的位置創(chuàng)建一個(gè)清單。一旦知道了擁有什么，便可以制定規(guī)則來保護(hù)它們的安全（比如我有兩個(gè)幼兒，那么就需要在樓梯上安裝安全門;我有一個(gè) 10 多歲的小孩，那么就需要鎖上酒柜）。

若要進(jìn)一步保護(hù)數(shù)據(jù)安全，組織應(yīng)采用強(qiáng)加密來加固環(huán)境。這類似于讓您的孩子在騎車時(shí)（務(wù)必?。┐魃项^盔、護(hù)膝和護(hù)肘。

2. 執(zhí)行信任

接下來，若要完全了解您的數(shù)據(jù)格局，您需要執(zhí)行活動(dòng)監(jiān)控，查看誰在嘗試訪問所有數(shù)據(jù)（比如使用家長控制工具跟蹤孩子正在跟誰發(fā)短信或跟誰一起騎車，以確保他們的安全）。對(duì)于任何組織而言，擁有最敏感數(shù)據(jù)相關(guān)用戶和行為的清晰視圖都至關(guān)重要。

3. 重建信任

無論您制定了什么規(guī)則，隨著業(yè)務(wù)環(huán)境的不斷變化，仍然會(huì)發(fā)生一些違反這些規(guī)則的事件。育兒也是如此！在發(fā)生這種情況時(shí)，重要的一點(diǎn)是要迅速做出響應(yīng)并采取精確的措施來解決問題。對(duì)于企業(yè)來說，這可能意味著調(diào)整網(wǎng)絡(luò)的分段或擦除用戶設(shè)備。

4. 改善可信度

數(shù)據(jù)保護(hù)是一個(gè)持續(xù)的過程，涉及到所有的安全領(lǐng)域。強(qiáng)大的分析和機(jī)器學(xué)習(xí)功能可讓您深入了解數(shù)據(jù)環(huán)境，并濾除誤報(bào)帶來的噪音。這些分析應(yīng)向自動(dòng)化引擎提供數(shù)據(jù)饋入;如此一來，一旦檢測(cè)到異常，受感染的用戶將無法訪問敏感數(shù)據(jù)。

了解數(shù)據(jù)位于何處并運(yùn)用身份和訪問管理 （IAM） 工具，組織便可了解誰有權(quán)訪問這些數(shù)據(jù)，以及他們是否應(yīng)訪問這些數(shù)據(jù)。統(tǒng)一端點(diǎn)管理 （UEM） 解決方案中的分層功能可為組織提供有關(guān)數(shù)據(jù)、訪問數(shù)據(jù)的用戶以及構(gòu)建端到端安全框架所用設(shè)備的完全可視性和情境信息。

使用零信任方法應(yīng)對(duì)混合多云世界的挑戰(zhàn)

在當(dāng)今的環(huán)境中，敏感數(shù)據(jù)無處不在 - 它們可能會(huì)一下子從本地?cái)?shù)據(jù)庫“飛” 到云文件共享庫，而在我們乘坐游艇出海時(shí)，也可以在平板電腦上通過虛擬專用網(wǎng)絡(luò) 訪問敏感數(shù)據(jù);因此，組織需要強(qiáng)大、靈活的框架來確保業(yè)務(wù)連續(xù)性、合規(guī)性和客戶信賴。針對(duì)您的“零信任”計(jì)劃采取以數(shù)據(jù)為中心的方法，您的組織便可做好充分準(zhǔn)備來應(yīng)對(duì)當(dāng)今混合多云世界帶來的挑戰(zhàn)。

就像是您讓孩子回房，然后設(shè)定警報(bào)、關(guān)燈、關(guān)門并上鎖一樣，我們?cè)诒Ｗo(hù)組織的敏感數(shù)據(jù)時(shí)也應(yīng)該采取這樣的方法。還有一點(diǎn)：別忘了藏起酒柜鑰匙！
責(zé)編AJX