循序漸進！開展零信任建設時應做好的16項準備

近年來，越來越多的企業準備採用零信任架構來實現更好的安全防護。對於許多企業來說，零信任的建設需要全面改變架構、流程和安全意識，這不是一蹴而就的改變，而是一個循序漸進的過程。

那麼，企業應該如何建立高效、安全的零信任體系呢？以下梳理了開展零信任建設時需要做好的16項準備工作。

1. 識別資料資產

公司應考慮的第一步是瞭解企業目前的資料資產，特別是非結構化資料，以提高資料安全性。只有充分掌握了資料資產情況，並瞭解資料的型別及儲存位置，才可以對如何保護資料做出明智的決定，從而打造高效的零信任環境。如果你不知道自己擁有什麼資料或儲存在哪裡，有效保護資料將無從談起。

2. 培養零信任企業文化

如果使用零信任安全以後，企業員工的安全意識卻沒有同步提升，這項技術的應用效果將難以充分發揮。將企業的安全防護與員工安全意識實現掛鉤，對於提高零信任應用效率至關重要。公司必須注重培養一種倡導透明、信任和開放溝通的企業文化，輔以持續培訓和相應技術手段，才可以有效提升員工的安全意識，全面防禦所有攻擊面。

3. 改造現有的許可權訪問

零信任建設早期的一種常見方式就是評估企業目前的安全狀況，並讓所有員工開始使用最低許可權訪問。此外，企業要能夠對資料進出訪問進行控制，並擁有必要的安全工具，比如安全資訊和事件管理系統，用於取證分析研究。

4. 評估許可權策略

由於零信任需要為使用者提供執行工作所需的最低許可權，因此其有效實施的基礎是對許可權進行合理評估，這包括瞭解現有許可權、微調現有許可權以滿足公司的目標，以及制定訪問管理策略。一旦掌握了這些資訊，就可以開始選擇相應的實現技術。

5.合理規劃建設預期

大多數供應商都聲稱可提供完整的零信任安全解決方案，但事實上沒有哪款產品能做到。零信任是一種理念，企業需要明確驗證身份、位置、裝置執行狀況、服務及/或工作負載，旨在出現違規行為時儘量減小影響、劃分訪問範圍。成功的零信任安全專案大都從身份管理、多因子身份驗證和最低許可權訪問等角度入手，逐步建設完善。

6. 確保訪問裝置的可用性

準備建設零信任的企業需確定哪些已有訪問控制裝置仍可用、哪些不可用，這樣才可以在零信任建設時明確定義訪問方法，建立強壯的驗證機制，並有效保護允許訪問零信任環境的端點。

7.提前考慮使用者體驗

安全和使用者體驗常常相沖突，但是不一定非得這樣。在敲定零信任安全流程、制定策略和明確需求之前，考慮使用者活動範圍變化和體驗。推出零信任新模式後，要考慮如何傳達體驗方面的優勢（比如無密碼單點登入），而不是一味關注安全方面的優勢。

8.全面瞭解攻擊面

對攻擊面的瞭解是保證零信任持續保護使用者、網路和應用程式的前提。首先，企業要列出一份最新的內外應用程式清單和軟體材料清單，然後利用這些資訊制定一項持續且自動化的應用程式計劃。

9. 及時瞭解業務需求

有效實施零信任模式需從業務需求入手。詢問要保護什麼資產、為何保護，來確定哪些方面採用零信任技術能更有效提高安全能力，這最終將支援企業的零信任戰略。

10. 梳理當前的訪問許可權

企業建立零信任策略的第一步是，瞭解員工和服務賬戶許可權的現狀。深入審查企業的所有訪問許可權有助於查明哪裡的潛在威脅最大，以便在零信任建設時考慮如何應對。

11.選擇合適的零信任框架

一套定義明確的零信任框架是實現高效零信任的關鍵要素，這樣安全團隊可以地輕鬆將正確的安全控制融入到軟體開發流程中，並確保其可以融入到統一的安全管理平臺中，雲原生環境下尤為如此。在建設過程中，安全團隊不應該再需要重新定義零信任，而是應對使用哪些軟體控制機制、要遵守哪些約定等了然於胸。

12.將加密與細粒度訪問控制相結合

網路分段和訪問控制在零信任應用中都是很常見的。透過端到端加密和訪問控制的結合，可以更好地實現零信任資料安全。

13. 確保不影響生產

零信任建設需要能幫助企業提高生產力而不是妨礙生產。當網路安全保護機制影響了員工工作時，就需要企業及時調整策略，在信任員工的同時，賦予員工可以訪問完成工作所需的應用程式和資料的適當許可權。

14.瞭解應用系統的風險

與邊界防護的傳統策略相比，在構建零信任時企業需明確系統風險概況，並針對具體的應用程式來調整安全方法。基於邊界的策略假設任何獲准穿越防護都可以訪問裡面的資源。然而，零信任是確保即使有權在企業內部訪問，企業內的每個訪問點仍另有安全核查機制。

15. 掌握訪問網路的所有裝置

掌握訪問網路的每個裝置是建立零信任環境的最大挑戰之一。組織面臨的最大風險之一是連線到網路的個人（裝置），因為他們通常是網路釣魚攻擊或社會工程攻擊的主要目標。零信任環境下疏忽任一個裝置，都可能導致安全漏洞被利用。

16.持續關注零信任技術的發展

遷移到零信任需要慎重規劃，儘早定義需要保護的關鍵資產和基礎設施很重要。現有系統和零信任環境需要時間磨合才能共存，且對於大多數企業來說，不會是一次性升級。目前零信任技術仍在快速成長，持續瞭解零信任技術和解決方案的發展對於長期保護投資很重要。