用最专业的眼光看待互联网
立即咨询零信任安全已经从认识阶段转变为实际实施阶段。随着越来越多的组织开始采用零信任框架,透明度成为实现零信任的基础。无论是刚刚起步的组织,还是已有全面实施的机构,目标都是确保所有信息技术系统都符合最低权限原则。掌握可见性,将有助于企业更好地识别和管理资源安全。
零信任安全正处于从意识到实施的关键转折点。公共政策的推动将促成私营部门的迫切需求。新兴标准为各类组织提供框架,无论其成熟度如何。无论是首次迈向零信任的组织,还是已经为未来做好规划的企业,透明度已成为零信任的基石。
根据 微软的报告,90 的安全决策者在大型企业中对零信任有所了解,并且76已在实施中。随着 拜登政府 签署了第14028号行政命令来 “改善国家网络安全”,零信任成为国家讨论的焦点。网络安全与基础设施安全局CISA承担起开发 零信任成熟度模型 的责任,该模型受到国家标准与技术研究院NIST SP 800207 的影响。
这些联邦法规和标准立即对公共部门产生了重大影响,私营部门也应关注相关动态。合规性规定已经影响许多私营企业,同时许多企业实施通用安全框架CSF以向合作伙伴展示其网络安全成熟度。其中一个框架是 NIST SP 80053,其列出了联邦IT系统的网络安全控制;然而,许多私营公司自愿实施该标准。
可以合理推测,许多私营组织也会选择自愿实施NIST SP 800207作为零信任框架。认为没有单一的实施路径适用于所有组织十分重要,因为各组织都有其独特性。NIST SP 800207考虑到了这种灵活性。
最终,零信任的目标是在所有信息技术系统中强制执行 最小权限原则身份验证、授权和访问控制。NIST SP 800207明确指出身份治理、微分段和软件定义的边界是零信任架构的三种变体,目前大多数组织仍在朝着这些理想努力。
无论一个组织是刚开始应用零信任,还是已经全面实施或着眼于未来的改进,可见性已成为零信任的基础。
加速器官方正版下载NIST SP 800207对零信任的原则作了以下定义:
原则所有数据源和计算服务都被视为资源。所有通信都无论网络位置如何都有保障。对于个人企业资源的访问是基于每次会话的授予。资源访问根据动态政策确定,包括可观察到的客户端身份、应用程序/服务和请求资产的状态。企业监控并测量所有拥有和关联资产的完整性及安全状况。所有资源的身份验证和授权都是动态的,严格在访问前执行。企业尽可能多地收集资产、网络基础设施和通信的当前状态信息,并利用这些信息改善安全状态。对于刚起步的组织来说,他们需要可见性来清理所有被视为资源的设备
地址:安顺市沉味区232号
