轉向 Zero Trust 方法不必過於複雜。組織可以從實作 MFA、關閉不必要的連接埠以及其他一些簡單步驟開始。
閱讀本文後,您將能夠:
複製文章連結
Zero Trust 安全性方法假設組織內部已經存在威脅。在 Zero Trust 方法中,不會自動「信任」任何使用者、裝置或應用程式,而是對公司網路中任何位置的每個請求都執行嚴格的身分驗證,即使對於已經連接到該網路的使用者和裝置也是如此。
Zero Trust 安全架構基於以下原則建構:
要深入瞭解這些原則以及它們如何相互結合和加強,請參閱什麼是 Zero Trust 網路?
實作全面的 Zero Trust 安全性可能需要一些時間,並且需要大量的跨團隊合作。組織的數位環境越複雜,即它必須保護的應用程式、使用者、辦公室、雲端和資料中心的種類越多,就越需要付出更多的努力來對這些點之間移動的每個請求實施 Zero Trust 原則。
因此,最成功的 Zero Trust 實作從需要較少努力和支援的更簡單步驟開始。透過採取這些步驟,組織可以大幅減少面臨各種威脅的風險,並為更大規模、更有系統的改進贏得支援。
以下是五個這樣的步驟:
多重要素驗證 (MFA) 要求登入應用程式的使用者使用兩個或多個驗證因素,而不僅僅是一個(例如使用者名稱和密碼)。MFA 比單一要素驗證安全得多,因為從攻擊者的角度來看,竊取屬於同一個人的兩個因素非常困難。
除了溫和地向使用者推出更嚴格的安全方法之外,推出 MFA 也是開始加強關鍵服務安全性的好方法。
除了身分之外,Zero Trust 還考慮裝置活動和狀態。針對所有應用程式執行 Zero Trust 原則是最終目標,但第一步是對任務關鍵型應用程式這樣做。
有多種方法可以在裝置和應用程式之間設定 Zero Trust 原則,包括透過加密通道、代理或單一登入 (SSO) 提供者。本文提供了有關設定的更多詳細資料。
電子郵件是主要的攻擊手段。惡意電子郵件甚至可能來自受信任的來源(透過帳戶盜用或電子郵件欺詐),因此套用電子郵件安全解決方案是邁向 Zero Trust 的一大步。
如今,使用者透過傳統的自托管電子郵件應用程式、基於瀏覽器的 Web 應用程式、行動裝置應用程式等查看電子郵件。因此,在雲端託管時,電子郵件安全性和網路釣魚偵測會更加有效——然後它可以輕鬆篩選來自任何來源和前往任何目的地的電子郵件,而不會轉接電子郵件流量。
在網路中,連接埠是電腦可以接收輸入流量的虛擬點。開放連接埠就像未上鎖的門,攻擊者可以利用它滲透到網路內部。連接埠有數千個,但大多數並不經常使用。組織可以關閉不必要的連接埠,以保護自己免受惡意 Web 流量的侵害。
從網路釣魚網站到路過式下載,不安全的 Web 應用程式是威脅的主要來源。DNS 篩選是一種防止不受信任的網站解析為 IP 位址的方法,這意味著篩選器後面的任何人都無法連接到此類網站。
這五個步驟將使組織順利邁向完整的 Zero Trust 安全框架。Cloudflare 提供了一份白皮書,更詳細地分解了這些步驟。下載:《Zero Trust 架構路線圖》。