多雲環境中連結零信任實施使用者指南

網路彈性將業務連續性規劃、網路安全和營運彈性結合在一起。目標是即使發生最壞的情況（毀滅性的網路攻擊或其他災難），也能夠在很少或沒有停機的情況下維持運作。
在當今世界，網路彈性應該成為每個組織的北極星目標之一。在全球範圍內，網路犯罪現在每年造成受害者的損失超過11 兆美元，預計到20 年底，這一數字將攀升至2026.1 兆美元以上。費用持續增加，平均成長率為自 2020.2 年以來每年增加超過 XNUMX%。一些組織（例如醫療保健等受到嚴格監管的行業中的組織）的平均違規相關費用較高，而其他組織（例如擁有利用自動化和人工智慧的成熟安全營運計劃的組織）往往會經歷較低的成本。
隨著威脅行為者能力的提高，遭受毀滅性損失的網路犯罪受害者與僅受到破壞事件輕微影響的網路犯罪受害者之間的差距將越來越大。生成式人工智慧等新興技術使攻擊者能夠以更大的規模發動較不複雜的攻擊（例如網路釣魚）。創建高度客製化的商業電子郵件妥協 (BEC) 和社會工程 c 也變得越來越容易。amp標誌。
為了保護他們的收入和聲譽，並確保他們能夠保持客戶的信任，各行業各種規模的組織必須改變過去思考和實施網路防禦的方式。
這正是零信任所要解決的問題。

11兆美元
全球網路犯罪每年造成的損失1

增加 58%
2022 年至 20233 年的網路釣魚攻擊

增加 108%
同期商業電子郵件外洩 (BEC) 攻擊4

Statista，《2018-2029 年全球網路犯罪成本估算》，2024 年 XNUMX 月。

IBM，2023 年資料外洩成本報告。
Zscaler，2024 年 ThreatLabz 網路釣魚報告

異常安全，1 年上半年電子郵件威脅報告

零信任：保護現代科技生態系的新願景

隨著越來越多的組織將其 IT 基礎架構的關鍵部分遷移到雲端，採用適合當今技術環境的網路安全策略至關重要。它們通常是複雜的、分散的、無邊界的。從這個意義上說，它們與本地網路（伺服器和桌上型電腦受外圍防火牆保護）截然不同，傳統安全方法就是為了保護本地網路而創建的。

零信任的發明就是為了填補這一空白。零信任旨在消除默認情況下自動信任用戶時（例如用戶位於遺留網絡外圍時）出現的漏洞，非常適合現代 IT 環境，在現代 IT 環境中，不同位置的用戶不斷訪問公司網絡內部和外部的數據和服務。
但了解採用零信任需要什麼並不總是那麼簡單。要弄清楚如何提高組織的零信任成熟度也不容易。選擇正確的技術來實施需要涉足眾多競爭性供應商的聲明，甚至在此之前，您必須找到正確的策略。

為了方便起見，我們整理了這份實用指南。在其中，您將找到一個五步驟計劃，可幫助您的組織加速實現零信任之旅。

什麼是零信任

零信任是一種基於「永不信任，始終驗證」核心原則的網路安全策略。隨著行業專家觀察到成功突破網路邊界的網路攻擊數量不斷增加，該術語開始成為主流使用。在 2000 年代初，大多數企業網路都有一個受防火牆保護的內部“信任區域”，這種模型被稱為“城堡和護城河”的網路安全方法。
隨著 IT 環境和威脅情勢的發展，越來越明顯的是，該模型的幾乎每個方面都存在缺陷。

網路邊界根本無法以 100% 故障安全的方式受到保護。
堅定的攻擊者總是有可能找到漏洞或缺口。
每當攻擊者能夠存取「受信任區域」時，他們就很容易竊取資料、部署勒索軟體或以其他方式造成傷害，因為沒有什麼可以阻止進一步的移動。

隨著組織越來越多地採用雲端運算並允許員工遠端工作，網路概念與他們的安全狀況越來越不相關。
零信任是為了應對這些挑戰而創建的，它提供了一種保護資料和資源的新模型，該模型基於不斷驗證使用者/設備在被允許連接到任何服務或資源之前應授予存取權限。

零信任正成為跨產業標準

零信任已被許多不同垂直領域的組織廣泛採用。最近的一項調查顯示，近 70% 的技術領導者正在其企業內實施零信任政策。例如，5 年《改善國家網路安全行政命令》呼籲聯邦政府和關鍵基礎設施部門的組織提高零信任成熟度。發布了零信任的詳細定義，以及有關如何實現零信任的廣泛指南。

零信任：官方定義

美國國家標準與技術研究院 (NIST)：
零信任 (ZT) 是一組不斷發展的網路安全範例的術語，它將防禦從靜態的、基於網路的邊界轉移到專注於使用者、資產和資源。零信任架構 (ZTA) 使用零信任原則
規劃工業和企業基礎設施和工作流程。零信任假設不存在僅基於資產或使用者帳戶的實體或網路位置（即區域網路與網際網路）或基於資產所有權（企業或個人擁有）而授予資產或使用者帳戶隱式信任。身份驗證和授權（主體和設備）是在建立與企業資源的會話之前執行的離散功能。零信任是對企業網路趨勢的回應，這些趨勢包括遠端用戶、自帶設備 (BYOD) 以及不在企業擁有的網路邊界內的基於雲端的資產。零信任著重於保護資源（資產、服務、工作流程、網路帳戶等），而不是網段，因為網路位置不再被視為資源安全狀況的主要組成部分。 7

網路安全與基礎設施安全局 (CISA)：
零信任提供了一系列概念和想法，旨在最大限度地減少面對網路的資訊系統和服務中執行準確的、最小權限的每個請求存取決策的不確定性 view編輯為妥協。零信任架構（ZTA）是一個企業的網路安全計劃，它使用零信任概念並包含元件關係、工作流程規劃和存取策略。因此，零信任企業是作為 ZTA 計劃的產品而為企業制定的網路基礎設施（實體和虛擬）和營運策略。

在您的零信任之旅中取得進展

零信任被廣泛認為是組織應該努力實現的安全標準。正如上述定義所表明的那樣，它也是一個複雜的概念。
大多數已建立安全計畫的組織都已經實施了至少一些旨在保護其內部企業網路的控制措施（例如，實體防火牆）。對於這些組織來說，面臨的挑戰是逐步擺脫遺留模型（以及隨之而來的思維方式），採用零信任，同時保持在預算範圍內，同時繼續提高可見性、控制力和響應能力到威脅。
這可能並不容易，但只要採取正確的策略，這是很有可能的。

步驟 1：首先了解零信任框架。

NIST 對零信任的定義將其描述為一種架構，即基於零信任原則規劃和實施企業安全基礎架構和工作流程集的方法。重點是保護單一資源，而不是網路或網路的一部分（網段）。
NIST SP 800-207 還包括採用零信任的路線圖。該出版物描述了創建零信任架構 (ZTA) 所需的構建塊。這裡可以使用不同的工具、解決方案和/或流程，只要它們在架構設計中發揮正確的作用。
從 NIST 的角度來看，零信任的目標是防止對資源的未經授權的訪問，同時使存取控制實施盡可能細化。

有兩個重點強調的領域：

決定授予哪些使用者或流量存取資源的機制
執行這些存取決策的機制

有多種方法可以實現零信任架構。這些包括：

基於身分治理的方法
基於微分段的方法，其中單一資源或小組資源被隔離在受網關安全解決方案保護的網段上
基於軟體定義邊界的方法，其中軟體定義廣域網路 (SD-WAN)、安全存取服務邊緣 (SASE) 或安全服務邊緣 (SSE) 等網路解決方案配置整個網路以限制存取依照ZT原則分配資源
CISA 的零信任成熟度模型是基於類似的概念。它強調實施細粒度的安全控制來管理使用者對系統、應用程式、資料和資產的訪問，並在建立這些控制的同時牢記使用者的身分、上下文和資料存取需求。
這種方法很複雜。根據 CISA 的說法，零信任之路是一個漸進的過程，可能需要數年時間才能實現。
CISA 的模型包括五個支柱。在這些領域中的每一個領域都可以取得進展，以支持組織邁向零信任。

零信任代表了從以位置為中心的模型到以身分、上下文和資料為中心的方法的轉變，在隨時間變化的使用者、系統、應用程式、資料和資產之間提供細粒度的安全控制。
—CISA，零信任成熟度模型，版本 2.0

零信任成熟度模型的五大支柱

第二步：了解走向成熟意味著什麼。
CISA 的零信任成熟度模型描述了四個方面tag邁向成熟的進展過程：傳統的、初始的、進階的和最佳的。
五個支柱（身分、設備、網路、應用程式和工作負載以及資料）中的每一個支柱都有可能走向成熟。這通常涉及增加自動化、透過收集用於分析的數據來增強可見性以及改進治理。

推進零信任成熟度

比方說，例如amp文件，您的組織正在 AWS 上運行雲端原生應用程式。

在「身分」支柱內取得進展可能包括從手動存取配置和取消配置該應用程式（傳統）轉向開始自動化身分相關策略執行（初始）。為了進一步提高零信任成熟度，您可以應用自動化生命週期管理控制，這些控制在此應用程式和您正在運行的許多其他應用程式（進階）中保持一致。優化零信任成熟度可以包括完全自動化即時身分生命週期管理、透過自動報告添加動態策略實施，以及收集遙測資料以實現跨該應用程式和環境中所有其他應用程式的全面可見性。
您的組織越成熟，您就越能夠將五個支柱中的事件關聯起來。透過這種方式，安全團隊可以了解它們在整個攻擊生命週期中的關係，這可能從單一裝置上的身分受到威脅開始，然後透過網路移至 AWS 上運行的雲端原生應用程式中的敏感資料。

零信任路線圖

步驟 3：確定最適合您的個人組織的零信任採用或遷移策略。

除非您從頭開始建立新的架構，否則增量工作通常是最有意義的。這意味著一一實施零信任架構元件，同時繼續在基於邊界/零信任的混合環境中運作。透過這種方法，您將在正在進行的現代化計劃中逐步取得進展。

漸進式方法應採取的步驟：

首先確定網路和業務風險最大的領域。首先在此處進行更改，以保護您最高價值的資料資產，然後從那裡按順序繼續。
仔細檢查組織內的所有資產、使用者、工作流程和資料交換。這將使您能夠映射需要保護的資源。一旦您了解人們如何使用這些資源，您就可以建立保護它們所需的策略。
根據業務風險和機會確定專案的優先順序。哪一項對您的整體安全狀況影響最大？哪個最容易快速完成？哪一個對最終使用者的干擾最小？提出這樣的問題將使您的團隊能夠做出策略決策。

步驟 4：評估技術解決方案，看看哪些最適合您的業務流程和目前的 IT 生態系統。
這需要反思以及對市場上的情況進行分析。

要問的問題包括以下：

我們公司允許使用員工自有設備嗎？如果是，此解決方案是否適用於您現有的自帶裝置 (BYOD) 政策？

該解決方案是否可以在公有雲或我們建置基礎架構的雲端中運作？它還可以管理對 SaaS 應用程式的存取（如果我們正在使用它們）嗎？它也適用於本地資產嗎（如果我們有的話）？
該方案支援日誌收集嗎？它是否與我們用於存取決策的平台或解決方案整合？
該解決方案是否支援我們環境中使用的所有應用程式、服務和協定？

該解決方案是否適合我們員工的工作方式？實施前是否需要額外訓練？

步驟 5：實施初始部署並監控其效能。

一旦您對專案的成功感到滿意，您就可以在此基礎上採取下一步措施，實現零信任成熟度。

多雲環境下的零信任

根據設計，零信任旨在用於現代 IT 生態系統，幾乎總是包含來自一個或多個雲端提供者的元件。零信任非常適合多雲環境。也就是說，跨不同類型的裝置、使用者和位置建置和執行一致的策略可能具有挑戰性，並且依賴多個雲端供應商會增加環境的複雜性和多樣性。
根據您的行業、業務目標和合規性要求，您的個人組織的策略將與其他組織的策略有所不同。在選擇解決方案和製定實施策略時考慮這些差異非常重要。
建立強大的多雲身分架構非常重要。個人用戶的裝置需要能夠連接到您的內部網路、雲端資源以及（在許多情況下）其他遠端資產。 SASE、SSE 或 SD-WAN 等解決方案可以實現這種連接，同時支援精細的策略實施。專為實施零信任而建置的多雲網路存取控制 (NAC) 解決方案即使在非常多樣化的環境中也可以實現智慧身分驗證決策。

不要忘記雲端供應商提供的解決方案。
AWS、Microsoft 和 Google 等公有雲供應商提供可用於分析、改進和維護雲端安全狀況的本機工具。在許多情況下，利用這些解決方案具有良好的商業意義。它們既具有成本效益，又具有很強的能力。

與值得信賴的合作夥伴合作的價值

實施零信任時必須做出的許多架構設計決策都很複雜。合適的技術合作夥伴將精通當今市場上提供的所有技術產品、服務和解決方案，因此他們會對哪些產品最適合您的業務有敏銳的洞察力。

專家提示：

尋找精通跨多個公有雲和平台整合的合作夥伴。
成本控制可能是多雲環境中的一個問題：使用供應商提供的解決方案可能更便宜，但可能會使不同平台或基礎設施保持一致的控制變得更加困難。制定最佳策略可能需要成本效益分析以及對 IT 環境的深入了解。

合適的合作夥伴可以幫助您做出這項決策。他們應該與多個安全解決方案供應商建立廣泛的合作夥伴關係，這樣他們就能夠幫助您了解過去各個供應商的聲明，以發現哪些解決方案真正最適合您的需求。他們或許也能夠獲得高級服務tag代表您定價，因為他們同時與多個供應商合作。
尋找一家可以在需要時提供一次性諮詢服務的供應商，但同時也擁有提供長期託管服務的專業知識。這樣，您就可以確信自己不會遇到過多的管理負擔，並且能夠從您選擇的工具和解決方案中獲得全部價值。

滿足連接

為了保護組織免受日益嚴重的網路風險，實施零信任架構至關重要。但它也很複雜。從了解零信任框架到選擇技術，到
制定實施策略、提高零信任成熟度可能是包含許多活動部分的長期專案。

與正確的服務和解決方案合作可以更輕鬆、更經濟地實現零信任。從長遠來看，您的團隊可以確信您正在減輕企業面臨的一些最大（也可能是最昂貴）的風險。
Connection 是一家財富 1000 強公司，透過為客戶提供業界領先的技術解決方案來平息 IT 領域的困惑，以促進成長、提高生產力並推動創新。專門的專家專注於卓越的服務，並根據客戶的獨特需求量身定制產品。 Connection 提供跨多個技術領域的專業知識，為超過 174 個國家的客戶提供解決方案。
我們與 Microsoft、AWS、HP、Intel、Cisco、Dell 和 VMware 等公司的策略合作夥伴關係使我們的客戶可以輕鬆找到所需的解決方案，以提高其零信任成熟度。

連結如何提供協助

Connection 是您零信任實施的合作夥伴。從硬體和軟體到諮詢和客製化解決方案，我們在零信任和多雲環境成功的關鍵領域處於領先地位。

探索我們的資源
現代化基礎設施
網路安全服務

立即聯絡我們的連接專家：

聯絡我們
1.800.998.0067

與合作夥伴關係

憑藉我們長期的客戶關係和思科技術的專業知識，我們一直在改善與思科開展業務的方式。我們豐富的思科知識和諮詢服務可以增強您的競爭優勢，幫助提高產量並提高效率。 Connection 與思科一起可以引導您在數位時代實現業務轉型。

作為 Microsoft 解決方案合作夥伴，Connection 提供產品、技術專業知識、服務和解決方案，協助您的企業適應不斷變化的技術環境。我們透過交付和部署 Microsoft 硬體、軟體和雲端解決方案來推動您的組織創新，利用我們廣博的知識和經過驗證的能力，確保您從 Microsoft 投資中獲得最大收益。