零信任安全的四個關鍵原則

由於網路犯罪威脅著各種規模、行業和地點的企業，組織已經意識到現有安全防禦體系已無法很好地起到防禦作用，必須實施零信任!

零信任是一種安全模型，可以概括為“永不信任，始終驗證”。換句話說，無論是從組織網路內部還是外部嘗試連線到系統或資料，未經驗證都不會授予訪問許可權。

許多公司可能承諾零信任，但無法透過單一技術或解決方案實現。相反，它是一種需要由組織整體採用的整體安全方法，依靠技術和治理流程的組合來保護 IT 環境。為了使其有效，組織的每個級別都需要進行技術和運營變革。

要採用零信任模型，請牢記以下四個原則：

物理安全

對於所有形式的計算，內部部署或雲端計算，物理資料中心仍然代表客戶資料的中心。更重要的是，它還代表了抵禦網路盜竊的第一層防禦。

第一個物理安全包括對資料中心的現場監控，例如 24/7 攝像頭、專業的安全團隊在現場巡邏，以及鎖在籠子上以防止未經授權訪問機架內的硬體。

其次，必須透過批准的訪問列表來控制對所有設施的訪問。這意味著名單上的每個人都有與他們的門禁卡相關聯的照片和生物識別檔案;要進入資料大廳，獲得批准的使用者必須先刷他們的門禁卡並驗證他們的生物特徵，然後才能被授予訪問許可權。

還必須確保電源、冷卻和滅火等關鍵環境要素的安全，以便在發生電源故障或火災時使系統保持線上狀態。

邏輯安全

邏輯安全是指技術配置和軟體的各個層，它們相結合，建立了安全穩定的基礎。關於層，邏輯安全應用於網路、儲存和管理程式層。

在網路層，客戶防火牆後面的兩個網段不應以任何方式重疊或互動。透過將安全邊界與該邊界後面的網路隔離相結合，組織的網路流量是專用的，並且對平臺上的任何其他客戶都是不可見的。

對於儲存平臺，繼續採用分段、隔離和安全劃界的概念。

最後，不要忘記管理程式。與網路和儲存一樣，實現邏輯分段是為了避免爭用問題，通常稱為“嘈雜的鄰居”。透過確保資源在邏輯上分配給單個客戶，該資源被標記為在他們的私人環境中使用。

過程

任何安全解決方案，無論是物理的還是邏輯的，如果沒有經過培訓和有經驗的人，都是無效的。如果管理該系統的人不瞭解或不知道如何在為保護各種系統而設立的控制措施範圍內工作，該解決方案就會失敗。很簡單，你不會在家庭安全系統上花費數千美元，然後將房子的鑰匙留在門鎖中。

安全程式甚至在員工加入公司之前就開始了，在開始工作之前要進行背景調查。一旦被僱用，所有員工都應接受安全和合規培訓，作為其入職過程的一部分，並至少每六個月接受一次持續培訓。

要使用零信任模型進行操作，除非另有證明，否則強制執行“拒絕訪問”是關鍵步驟。透過基於角色的訪問控制(RBAC) 模型授予訪問許可權，根據其功能為特定個人提供訪問許可權。除了 RBAC，特權帳戶還配置為使用兩因素身份驗證進行操作。這是訪問關鍵系統所需的更高階別的授權。除了當前的授權外，所有員工都要接受定期訪問審查，以確定並確保他們在更改角色、團隊或部門後仍然需要訪問許可權。

更普遍的程式導向(即非特定使用者)的安全活動包括年度滲透測試和所有系統的定期修補計劃。

持續的審計

最後，必須定期審查和審計現有的流程和系統，以確保符合法規和遵守公司的安全標準。在高度監管的行業，如金融服務和醫療保健，這一點尤其重要。

無論你的組織現在或將來是否追求零信任，上述的各種物理、邏輯、流程和審計要素都可以作為保持資料安全的起點。