對于我們任何人來(lái)說(shuō),兒童就是我們“最關(guān)鍵的資產(chǎn)”。為了給與他們妥善的保護,我們一直在努力了解他們在哪里以及他們在做什么,尤其是在令人煩惱的青少年時(shí)期。我們還會(huì )采取措施保護他們度過(guò)童年的地方。我們安裝了攝像頭、鎖和警報系統來(lái)監控他們的活動(dòng),并保護外圍安全,確保我們最寶貴的“內部人員”不會(huì )脫離“安全圍欄”。這些概念并不新鮮;它們只是我們所生活的世界的產(chǎn)物。
對于嘗試保護任務(wù)關(guān)鍵數據的組織而言,這些概念同樣適用。客戶(hù)信息、商業(yè)秘密和健康記錄都屬于組織擁有的最敏感信息,但我們往往沒(méi)有像對待家人那樣給與它們同樣的保護。
進(jìn)入“零信任 (Zero Trust)”
重大數據泄露事件及全球性法規的增多,可能會(huì )導致組織遭受數百萬(wàn)美元的業(yè)務(wù)損失和/或罰款。為此,企業(yè)已經(jīng)開(kāi)始實(shí)施有助于減緩這些潛在風(fēng)險的框架,其明確目標便是保護其敏感數據。零信任便是這些框架之一。
零信任 (Zero Trust) 是以不信任任何人這個(gè)概念為基礎而建立的一種靈活安全框架。以前的安全模型專(zhuān)注于 IT 外圍,但是隨著(zhù)企業(yè)向混合多云環(huán)境的轉變、自帶設備 (BYOD) 模型的增多,以及員工和承包商的混合使用,單單保護外圍安全已然不夠。相反,采用零信任戰略的組織可以保護需要正確訪(fǎng)問(wèn)數據的人員、
需要管理的安全設備,并實(shí)施分析和響應機制,確保安全分析人員對其環(huán)境具有完全的可視性。
重新思考外圍保護,提升數據安全性
數據是 IT 環(huán)境中所有事物的基礎,但在面向外部的領(lǐng)域(如端點(diǎn)、網(wǎng)絡(luò )和應用) 中,安全性經(jīng)常會(huì )被忽略。組織使用傳統的安全方法在網(wǎng)絡(luò )周?chē)?ldquo;圍墻”, 并檢查進(jìn)出圍墻的每個(gè)人員,這對于當今企業(yè)而言,并不是一種妥善的做法。
相反,零信任框架和架構方法的特征是微外圍(比如將房屋的大門(mén)鎖上,然后關(guān)上孩子臥室的門(mén))和微分段(比如只有祖父母和可信賴(lài)的鄰居才能擁有房屋的鑰匙和警報代碼;管道修理工只有在您在家時(shí)才能進(jìn)入房屋)。通過(guò)實(shí)施這兩個(gè)原則,組織便可控制誰(shuí)可以從哪個(gè)設備和哪個(gè)網(wǎng)絡(luò )訪(fǎng)問(wèn)哪些數據。
在采用“零信任”方法時(shí),安全架構的起點(diǎn)必須從底層開(kāi)始,并逐步向上發(fā)展到IT 堆棧(比如在數據層進(jìn)行微分段和微外圍),然后將信息用作移動(dòng)到框架外部區域時(shí)的情境。沒(méi)有堅實(shí)的基礎,您就無(wú)法建造堅固、美麗的房子。
成功實(shí)現零信任的四個(gè)步驟
1. 定義信任
構建牢固框架的第一步是針對組織所擁有的敏感數據及其所在的位置創(chuàng )建一個(gè)清單。一旦知道了擁有什么,便可以制定規則來(lái)保護它們的安全(比如我有兩個(gè)幼兒,那么就需要在樓梯上安裝安全門(mén);我有一個(gè) 10 多歲的小孩,那么就需要鎖上酒柜)。
若要進(jìn)一步保護數據安全,組織應采用強加密來(lái)加固環(huán)境。這類(lèi)似于讓您的孩子
在騎車(chē)時(shí)(務(wù)必!)戴上頭盔、護膝和護肘。
2. 執行信任
接下來(lái),若要完全了解您的數據格局,您需要執行活動(dòng)監控,查看誰(shuí)在嘗試訪(fǎng)問(wèn)所有數據(比如使用家長(cháng)控制工具跟蹤孩子正在跟誰(shuí)發(fā)短信或跟誰(shuí)一起騎車(chē),以確保他們的安全)。對于任何組織而言,擁有最敏感數據相關(guān)用戶(hù)和行為的清晰視圖都至關(guān)重要。
3. 重建信任
無(wú)論您制定了什么規則,隨著(zhù)業(yè)務(wù)環(huán)境的不斷變化,仍然會(huì )發(fā)生一些違反這些規則的事件。育兒也是如此!在發(fā)生這種情況時(shí),重要的一點(diǎn)是要迅速做出響應并采取精確的措施來(lái)解決問(wèn)題。對于企業(yè)來(lái)說(shuō),這可能意味著(zhù)調整網(wǎng)絡(luò )的分段或擦除用戶(hù)設備。
4. 改善可信度
數據保護是一個(gè)持續的過(guò)程,涉及到所有的安全領(lǐng)域。強大的分析和機器學(xué)習功能可讓您深入了解數據環(huán)境,并濾除誤報帶來(lái)的噪音。這些分析應向自動(dòng)化引擎提供數據饋入;如此一來(lái),一旦檢測到異常,受感染的用戶(hù)將無(wú)法訪(fǎng)問(wèn)敏感數據。
了解數據位于何處并運用身份和訪(fǎng)問(wèn)管理 (IAM) 工具,組織便可了解誰(shuí)有權訪(fǎng)問(wèn)這些數據,以及他們是否應訪(fǎng)問(wèn)這些數據。統一端點(diǎn)管理 (UEM) 解決方案中的分層功能可為組織提供有關(guān)數據、訪(fǎng)問(wèn)數據的用戶(hù)以及構建端到端安全框架所用設備的完全可視性和情境信息。
使用零信任方法應對混合多云世界的挑戰
在當今的環(huán)境中,敏感數據無(wú)處不在 - 它們可能會(huì )一下子從本地數據庫“飛” 到云文件共享庫,而在我們乘坐游艇出海時(shí),也可以在平板電腦上通過(guò)虛擬專(zhuān)用網(wǎng)絡(luò ) (VPN) 訪(fǎng)問(wèn)敏感數據;因此,組織需要強大、靈活的框架來(lái)確保業(yè)務(wù)連續性、合規性和客戶(hù)信賴(lài)。針對您的“零信任”計劃采取以數據為中心的方法,您的組織便可做好充分準備來(lái)應對當今混合多云世界帶來(lái)的挑戰。
就像是您讓孩子回房,然后設定警報、關(guān)燈、關(guān)門(mén)并上鎖一樣,我們在保護組織的敏感數據時(shí)也應該采取這樣的方法。還有一點(diǎn):別忘了藏起酒柜鑰匙!
Jesse Sedler
IBM Security 數據安全產(chǎn)品經(jīng)理
Jesse Sedler 是 IBM Security 數據安全團隊的產(chǎn)品經(jīng)理。他于 2018 年加入 IBM Security,首先是負責移動(dòng)安全領(lǐng)域的網(wǎng)絡(luò )安全工作,然后是負責數據安全。他先前曾擔任過(guò)某個(gè)貿易協(xié)會(huì )的游說(shuō)者,以及國防高級研究計劃局 (DARPA) 的分析師。他擁有埃默里大學(xué)的歷史學(xué)士學(xué)位和杜克大學(xué)的工商管理碩士學(xué)位。來(lái)源:IBM
