美国联邦机构如何更好地管理“零信任架构”？

新冠疫情彻底改变联邦机构的日常运行模式，也使传统周边设备逐渐落伍。许多机构加快实施“零信任架构”（ZTA）的步伐。美国防部虽一直看好ZTA在改善安全方面的潜力，但也对如何管理ZTA表示担忧。

零信任应具有可管理性。联邦政府几十年来的工作都属于零信任的范畴，只不过是以极其细分的方式进行的。为使零信任更具可操作性，各联邦机构应首先关注如何整合身份识别解决方案，以推动行为分析，在防止部门间摩擦的同时，保持严密的安全性。

分段式“零信任架构”存在的问题

传统意义上，零信任简单指防火墙的“微分段”和偶尔需要认证的飞地。在这样的设置下，IT专业人员无法掌握用户在飞地内的操作，更不知道用户何时退出。每个飞地都是独立的，有各自的身份认证系统。机构只能了解到用户的部分细节，对整体情况缺少把握。

美国防部深受分段式ZTA局限性的影响。同时，美海军和空军也有很多通过动态目录的身份认证系统，容易在掌握个人用户的过程中产生不透明。即使使用通用访问卡，后台所有的登录都是独立的，用户在多个系统中的密码也是不同的。IT专业人员虽然知道用户被允许访问的范围，但却不清楚用户实际操作中访问的内容。

同样，许多联邦机构借助数十万道防火墙规则来批准或拒绝从一个飞地到另一个飞地的访问。更好的解决方法是依靠行为分析，使用风险评估来进行访问决策。成功实施行为分析的第一步是获得统一身份认证列表。

对新技术的理解认识比新技术本身更重要

获得统一身份认证列表之后，各机构即可了解哪些用户在访问数据，访问了哪些数据，以及用户是如何进入系统的。所有信息都可以被输入到行为分析工具中，以进行跨越各个分段的持续身份认证。访问管理也将更加精细，按用户、设备和请求访问的数据进行管理。

要达到精细化、连续化的安全水准，并非购买单一的解决方案那么简单。多数机构从一项技术开始，如“数据丢失防护”（DLP）或“云访问安全代理”（CASB）。但是，应当关注更宏观的问题，比如用户需要什么工具来保持连接并完成工作。然后，业务战略应该告知治理计划，了解数据的位置，访问途径，以及代理机构如何保持遵从。

部署新技术并不一定能让机构更加安全，重要的是该机构对于新技术有什么新的认识。对于安全问题，存在一种“越多越好”的误区。但是，即使各联邦机构收到再多的威胁情报，也不意味着它能从这些情报中学到什么。

事实上，威胁情报可能会让机构过于关注外部发生的事情，而忽视内部存在的威胁。归根结底，一切都与用户和数据有关。行为分析，其实就是将二者联系在一起的内部威胁情报。

安全底线

各机构调查数据如何丢失或者为何受到攻击时，往往发现是用户不小心而为之。联邦机构需要一种零信任方法，监控用户以及用户与信息的交互方式。

例如，如果敏感文件被外部共享，该文件将被自动加密，以防止未经授权的查看。同样，如果用户下载的数据容量超过了用户个人笔记本电脑的容量，就可能被设置为高风险，自动封杀。相较于很久以后才发现大规模数据泄露，实时阻断这种内部威胁要好得多。

需要指出，零信任需要一个过程。短期内，各联邦机构应重点关注整合身份认证解决方案，以实现行为分析，确保零信任能够启发新的认知并保持更好的长期安全性。只有从大局出发，国防部等机构才能确保其新的ZTA既可操作又高效。

来源 | 美国c4isrnet网站

图片 | 互联网

作者 | 陈培

注：原文来源网络，文中观点不代表本公众号立场，相关建议仅供参考。

声明：本文来自国防科技要闻，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。