国产av在线观看99|日本CSGO大姐姐AWP|成人T髙水A片动漫|女人荫蒂后图片|国产久久免费|欧美国产精品久久综合|69久久夜色精品国产69

返回

Gartner?:實施零信任網絡訪問的7個有效步驟

概述
主要發現
  1. · 歷史架構行為在遠程訪問購買者中保持一致,這種行為差距給零信任網絡訪問(ZTNA)采用帶來了挑戰。 零信任網絡訪問不是一種“一勞永逸”的技術;它本質上依賴于不斷迭代的過程,需要訪問策略隨著業務和風險水平發生變化。
·  一些最終用戶組織報告說他們已經完全取代了使用云托管零信任網絡訪問解決方案的傳統 VPN,但政策實施過程中的發展遇到了挑戰。
·  零信任網絡訪問可能會提供優于傳統 VPN 的優勢; 然而,它的部署應該是與企業的零信任策略、企業領導者對其用戶群的遠程訪問要求保持一致,并使用基于風險的方法進行優化組織安全態勢。
·  2022 年,人們對實施零信任策略產生了濃厚的興趣和趨勢,營商環境持續改善。2022 年前6個月與 2021 年同期相比對此主題的詢問增長了 34%。

建議
負責基礎設施安全的安全和風險管理領導者應該:
· 使用連續生命周期方法來更清楚地了解遠程訪問風險級別和必要的策略要求,并能夠
根據企業的風險偏好調整準入政策。
· 利用零信任的原則與企業領導者開展關鍵對話,這將在實施之前提供指導并幫助實現其業務目標,任何零信任網絡訪問技術都不是作為孤立的答案。
· 建立政策治理范式,幫助定義“誰有權訪問什么”關于用戶、設備、應用程序和數據分類,從身份和訪問開始要求。
· 進行定期評估以確認受保護資源的隔離和驗證用戶對資源的訪問權限。

介紹
零信任網絡訪問產品作為一種為用戶提供最少服務的方法正變得越來越流行,業務應用程序的特權代替傳統的遠程訪問VPN。傳統的遠程訪問VPN仍然主要以許可證續訂和網關的形式出現升級。然而,這些成熟的 VPN 技術繼續解決以下問題:零信任網絡訪問堆棧不滿足集成的技術要求,或者零信任網絡訪問堆棧不滿足集成的技術要求試點尚未說服關鍵決策者。

雖然許多客戶和供應商已經將ZTNA整合到云交付中,盡管如此,Gartner仍然認為部署這種ZTNA功能是一種安全服務優勢,用于某些特定用例的獨立解決方案,例如保護對數據庫的遠程訪問,遠程維護操作技術(OT)或Internet的擴展勞動力事物基礎設施,或應用程序訪問特定監督會話的地方,管理是必需的。

盡管 ZTNA 持續穩定地被采用,并且它提供了安全優勢,最終用戶組織仍在努力制定政策以成功部署ZTNA。 本研究報告概述了企業可以采用的實用方法,以便安全和風險管理領導者可以避免陷阱并實現更順利的以及更有效的 ZTNA 實施。

ZTNA 實施需要連續的生命周期方法,這種方法可以分為七個步驟,這對于成功部署至關重要。 這些步驟圖 1 中概述了這些內容,并在下面的分析部分中進行了詳細說明。

圖 1:零信任網絡訪問生命周期

分析
與商業領袖一起定義目標和范圍

有效實施 ZTNA 更具挑戰性的方面之一是管理業務領導者和最終用戶社區的期望。一些企業領導者會對實施 ZTNA 及其對企業的影響表示擔憂最終用戶體驗、策略管理員或變更管理流程。

安全和風險管理領導者必須與業務領導者合作以了解他們的目標是制定強有力的基礎零信任戰略。合作與商業領袖的合作是推動最終規劃的“必備”基礎,業務目標與選擇、實施和最終狀態目標之間的關系,配置 ZTNA 技術解決方案以實現預期結果。

在與企業領導人協商時,強調 ZTNA 將如何減輕業務影響風險,同時提高可用性和可管理性。告訴這些商界領袖新的 ZTNA 模型允許比傳統的更安全的資源連接訪問方法,同時為企業建立更強大的安全態勢。這ZTNA 解決方案中可能實現的增強安全性和策略靈活性調整將有助于減輕人們對過渡到這項新技術的擔憂。

開發一個由應用程序、用戶和核心組組成的結構化范圍設備,通常從“簡單用例”開始,作為初始概念證明的一部分,就像完全遠程的知識工作者一樣。然后與企業領導者合作確定
該組中最復雜的用戶,例如進行遠程操作的特權承包商維護或本地管理員遠程工作。通過識別兩端的ZTNA用戶頻譜和部署復雜性、安全性和風險管理,領導者將設定對過渡步驟和時間表的正確期望。

這個小組將形成衡量進展的基線,并應概述將被包括和不被包括的應用程序,比如不被包括的遺留技術適用于ZTNA(例如,大型機),以及哪些用途將被包含在最初的項目。這種結構化的分組將遵循所描述的每個部分。在整個研究過程中,隨著時間的推移,業務將迭代使用其他應用程序和用戶。

理想情況下,選擇ZTNA技術提供商不應該先于商界領袖的戰略規劃。戰略規劃將最終形成特性需求并推動潛在的ZTNA技術供應商評估指標的選擇。然而,Gartner已經見證了一個與ZTNA提供商合作的小型試點的例子幫助細化期望,增加內部知識。如果一個ZTNA產品已經獲得后,繼續進行本研究中的建議并基于產品功能的期望調整業務。

將業務目標與零信任策略保持一致
零信任是一種用持續評估取代隱性信任的戰略方法明確的信任。它基于安全基礎設施支持的身份和上下文可以適應組織的風險偏好,從而提高安全成熟度。在最高業務級別,零信任的幾個關鍵原則是:
· 在假設妥協的模式下操作。
· 使用身份和上下文作為訪問決策的基礎。
· 永遠不要盲目信任;在允許訪問之前始終進行驗證。
· 提供足夠的資源訪問權限。
· 消除隱性信任;實現顯式信任。
· 加密靜態和動態數據。
· 實時監控并驗證所有操作。

最終,零信任將用戶安全地連接到應用程序。為了每個業務部門的目標并制定提高業務生產力的政策,安全與風險管理領導者必須平衡組織的安全與業務的安全。例如,根據高度可變的環境設置持續的信任評估或采取二進制阻止和允許操作會導致最終用戶感到沮喪。 ZTNA必須依靠建立可靠的信任評分的質量信號,并提供良好的背景和消息傳遞向最終用戶解釋為什么訪問受到限制或阻止。這種方法會有所不同,具體取決于行業類型、業務規模、監管要求、云采用路線圖以及內部數據分類。

零信任策略的構建模塊如下:

· 通用身份管理構造定義: 
· 需要訪問目標的用戶(帳戶) 
· 用于訪問目標服務的設備(源端點) 
· 一組定義權限的自適應訪問控制,需要: 
· 與身份構造集成 
· 建立與需要訪問的用戶關聯的設備上下文 
· 識別和發現工作負載、系統和應用程序目的地
· 基于風險承受能力的適當訪問控制

這種方法及其原則應該成為安全與風險的指路明燈,管理領導者在 ZTNA 和任何其他相關部署方面取得進展,可能符合零信任原則的技術。

關注身份和適當的訪問權限

一些最終用戶組織報告稱,他們已將 ZTNA 配置為授予用戶訪問所有應用程序,這與傳統的配置類似VPN 系統。這種方法的問題在于企業沒有接收到充分發揮ZTNA的效益和價值。

為了成功實現 ZTNA 的全部優勢,企業應確定 ZTNA 將產生最大影響的“用戶到應用程序到數據”用例(例如,控制對敏感應用程序和數據的訪問或向特定用戶授予訪問權限承包商等團體)。在需要安全訪問的企業內還應針對相應領域制定具體政策。

訪問用例在業務訪問策略和訪問策略中定義應該是用戶和/或設備標識的組合,與支持上下文數據。企業的安全風險偏好控件將其映射到一系列控件或權限。身份和語境成為將驅動決策過程的關鍵元素,可以訪問這些元素應用程序和數據,以及它們被授予的訪問或權限級別。

ZTNA在很大程度上依賴于身份訪問管理,它由幾個管理時和運行時支柱,包括身份治理和管理(IGA)和訪問管理(AM)等。IGA,連同其他管理時身份安全態勢工具,如云基礎設施授權
管理是減少攻擊面并確保身份只攜帶必要數量的特權——不多也不少。這些然后可以在運行時使用身份,由AM工具提供用于強制身份驗證授權,在資源被使用的那一刻。相關的ZTNA技術依賴于AM在執行時傳遞的內容(即,帳戶權限,用戶行為,以及其他身份會話計算風險),以決定是否允許或拒絕訪問,或加強對該ZTNA工具范圍內受保護資源的身份驗證。有關詳細信息,請參閱快速回答:如何進行訪問管理和零信任網絡訪問工具協同工作?

啟動 ZTNA 之前記錄和地圖應用程序的使用情況執行

許多組織等到他們實現了ZTNA解決方案之后才開始研究用戶和應用程序之間的關系。他們開始使用應用程序發現工具由ZTNA供應商提供,或使用其他現有的數據流映射工具。然而,一些早期采用者報告說他們“得到了”通過在實施ZTNA之前開始一個發現過程來領先于解決方案。

Gartner觀察到兩種主要方法:
1. 全面,但耗時:通過映射應用程序來定義策略和用戶在實現之前。如果打算在ZTNA之上部署額外的零信任對齊技術,這是首選的方法部署。示例:微分段或基于身份的分段。
2. 策略性和漸進式:有意地確定一個小而孤立的群體應用程序,以及一個小的用戶團隊。用它作為基準評估所需的總時間,工作流管理的健壯性和文檔流程。

使用最初通過與來自的業務領導協作進行的工作,不同的部門(市場、財務、銷售等)來確定哪些應用程序,您的團隊應該要求訪問,包括承包商(如果有的話)。安全領導是然后能夠制定理論訪問策略和相關的工作概況。工作概要文件定義了遠程工作訪問的可能性,因此也定義了相關的安全需求(參見圖2)。安全團隊的目標應該是:

· 收集足夠的信息來理解基于的遠程工作策略。
· 用戶角色和團隊列出每個用戶類別的關鍵應用程序和計算模型。
· 確定數據隱私要求。
· 將這些遠程工作概況與現有的風險評估相結合員工的作用。

圖2:員工遠程工作配置文件的關鍵組件

訪問策略和工作配置文件應基于支持零信任策略并應與企業的訪問期望保持一致。這為企業的每個團隊提供一套標準,確定哪些應用程序允許以及應授予何種級別的風險適當的訪問權限。這使得安全團隊可以通過 ZTNA 部署更快地取得進展。

早期采用者報告說,在 ZTNA 之前執行應用程序映射部署有助于驗證該策略。應用程序映射工具可識別誰在使用每個應用程序以及該應用程序的訪問方式;他們還可以繪制應用程序之間的依賴關系圖。
ZTNA 項目經理報告說,即使他們可以使用應用程序發現工具,確定哪些用戶需要訪問哪些應用程序需要進行大量工作。 一建議扭轉該方法并識別單個應用程序,然后映射用戶。最好盡早開始這項工作,然后迭代其他應用程序,需要如下所示。

許多 ZTNA 供應商提供此功能作為解決方案的一部分(如果部署在“開放”或“監控”模式,一些采用者已利用這一點來發揮自己的優勢。其他正在進行中的方法(例如使用組織內已部署的工具集)可以提供幫助。執行基于工具的映射不是強制性步驟應用程序;但是,如果有可用的工具,它確實有助于 ZTNA 用來部署過程。

通過消除過程,安全領導者可以利用這些映射工具來驗證所定義的理論政策是否滿足商業領袖的訪問期望。在此過程中識別其他訪問用例并不罕見,在制定訪問政策期間可能沒有確定的問題。

而許多組織并沒有一個修改的過程訪問策略,這樣做是至關重要的。最初,保留訪問權限
策略相對寬泛,基于業務風險偏好的長期政策增加了策略的粒度。這將降低您的操作周期和故障排除期間部署的初始階段。避免設置和忘記政策。

通過首先建立策略,然后驗證應用程序的使用情況,企業可以將理論與實際聯系起來。這可能會關閉任何一個不可預見的差距或為業務未意識到的用例建立新的策略。這將產品鞏固到一個強大的戰術位置,以滿足組織的主要需求在整個企業中部署零信任技術的目標。

清理對應用程序的訪問

在發現和映射階段,許多現有的應用程序訪問策略將被刪除,可能需要調整和調整。這是消除應用程序的好機會,不再相關的訪問權限和授權。到了這個階段過程中,安全領導者應該有很好的了解:

· 哪些用戶或系統需要訪問應用程序和數據源
· 哪些已建立的業務數據源受到應用程序的保護,以及對需要訪問的數據進行分類
· 用戶應如何以及在何處訪問應用程序和數據 
· 誰有權或使用特權訪問以及出于什么目的 
· 哪些資源受到業務認可,以及用戶正在使用的驗證他們以預期的方式
· 哪些應用程序不受制裁以及為什么使用這些應用程序 
· 應消除或限制使用哪些應用程序或工具

一些組織已向 Gartner 報告稱,他們調整了遠程訪問升級應用程序和服務現代化的總體路線圖。這促使企業推遲對某些應用程序的訪問權限的更改,因為該應用程序計劃遷移到 SaaS 模型。

一些 ZTNA 早期采用者報告說,他們能夠更改或消除已轉換為不同角色或已離開公司的用戶的權限,這是用戶生命周期管理不善的一個例子。一些早期采用者還報告稱,他們終止了與其合作的各方(承包商)的訪問權限,他們不再有業務關系。

在此應用程序清理過程中,IGA 指南和訪問策略都應必要時進行維護和更新,以便基線業務政策不會下降或與正在實施的變革不同步。
為運營開銷和復雜性做好準備

安全是一個連續的生命周期;它永遠在發展,采取“一套”ZTNA 政策的“忘記”方法是不現實的。具有 ZTNA 經驗的組織部署報告稱他們正在不斷調整策略。和新的一樣部署應用程序或數據源(包括季節性應用程序)后,ZTNA團隊將需要添加新的訪問策略以適應變化
商業。 現有的訪問策略也可能需要作為應用程序或數據進行修改源(類型)發生變化,或者當安全領導者發現需要更細粒度或限制性政策。

這也可能潛在地影響服務臺或ZTNA的流程更改實現團隊沒有做好準備,并且被訪問請求淹沒,開放對以前可以訪問的其他資源的訪問。ZTNA應該充分利用工具功能來促進和記錄任何策略變化。

ZTNA團隊應該接受這樣一種心態:總是有需要改進的地方,隨著時間的推移,細化訪問策略。與客戶保持溝通是很重要的,應用程序和系統所有者要了解:
· 用戶應該訪問業務部門內的哪些資源? 
· 哪些內部和外部用戶需要訪問權限,以及他們應該如何訪問系統?
· 業務部門內的哪些資源需要提升特權?為什么? 
· 哪些應用程序或數據應受到限制或需要業務部門額外批準?
· 是否有任何新項目或重大變化可能需要政策修改?

這些問題的答案可能會促使對既定訪問的更改策略,并在ZTNA生命周期內將流程推向新修改、經過測試和驗證的訪問策略。

過于嚴格或大量的細粒度策略最初將影響服務臺團隊或ZTNA實現團隊,因此必須開發一個明確的例外流程地址訪問請求修改。企業必須確定它應該授予支持團隊多少進行任何訪問修改的自主權和允許更改訪問級別。異常流程必須維護一個驗證步驟,以便在修改訪問策略時,它們繼續與業務預期和不引入不必要的風險。

部署ZTNA策略可能會帶來一些操作上的變化。例如,幫助臺和IT支持人員應該意識到典型的端點管理,這可能依賴于第三層VPN訪問端點(用于修補或遠程支持),將需要替代的管理路徑。許多ZTNA提供商都在引導流量在應用層(第7層),所以自動更新任務可能有在新的ZTNA下,在傳統VPN上工作成功的VPN可能不再工作模型。與端點管理團隊合作,在實現ZTNA解決方案之前使端點管理現代化。(有關更多信息,請參見使Windows現代化和第三方應用程序補丁。)

驗證訪問控制和資源隔離
零信任的一個關鍵原則是永遠不要隱式信任,而要始終驗證。這個理想的驗證原則也應應用于業務的內部安全及整個企業的控制和實現。

信息安全是一個連續的生命周期,包括戰略、架構、實施、操作和驗證。驗證階段常常被忽視;這就是企業應該評估自己的安全控制并建立已知的“現狀”狀態每隔一年遵守一次。安全控制的驗證應該是ZTNA規劃過程并納入整體安全方案。安全領導者應該制定一個計劃和流程來測試和驗證方法的有效性ZTNA政策。

保證評估可以有多種形式,例如內部自我評估、ZTNA 解決方案或外部咨詢公司內的安全報告工具提供控制測試服務。測試計劃的目標是了解兩個領域:隔離受保護的資源,保證受保護的用戶的訪問權限系統符合組織的訪問策略。該驗證建立了當前ZTNA 環境的合規狀態,并揭示可能存在的任何潛在差距需要補救。

建議一旦部署 ZTNA 技術并且相對穩定已實現,企業應對ZTNA進行保證評估環境。應定期進行此類安全評估,主要由組織的風險偏好驅動。一般來說,大多數組織將通過與外部或第三方安全咨詢公司合作來執行此步驟,其顧問精通現代攻擊技術。

證據
這項研究基于 Gartner 對多個早期和成熟采用者的采訪
ZTNA 技術。

有關零信任成熟度模型的更多信息,請參閱網絡安全與基礎設施安全局的 CISA 零信任成熟度模型。欲了解更多信息零信任架構,請參閱國防部的零信任參考架構。

文檔修訂歷史
實施零信任網絡訪問的最佳實踐-2021年6月10日

作者推薦
某些文檔可能無法作為您當前 Gartner 訂閱的一部分提供。
零信任網絡訪問市場指南
安全服務邊緣魔力象限
2022 年 SASE 融合戰略路線圖
實施零信任的實際項目有哪些?
新興技術:零信任網絡訪問的采用增長洞察
成功的身份治理和管理部署指南
IAM 領導者身份治理和管理指南

? 2022 Gartner, Inc. 和/或其附屬公司。 版權所有。 Gartner 是以下公司的注冊商標
Gartner, Inc. 及其附屬公司。 本出版物未經 Gartner 事先書面許可不得以任何形式復制或分發。 它包含 Gartner 研究的意見組織,不應將其視為事實陳述。 雖然其中包含的信息。本出版物是從據信可靠的來源獲得的,Gartner 不承擔所有保證此類信息的準確性、完整性或充分性。盡管 Gartner 研究可能解決法律和財務問題,Gartner 不提供法律或投資建議及其研究不應如此解釋或使用。您對本出版物的訪問和使用受Gartner 的使用政策。 Gartner 以其獨立性和客觀性的聲譽而自豪。它是研究由其研究組織獨立進行,不受任何人的投入或影響。欲了解更多信息,請參閱“獨立性和客觀性指導原則”。