落地零信任 安全厂商必须回答的几个难题
发布时间:2022-06-13 15:47:50 所属栏目:安全 来源:互联网
导读:随着网络边界的消失,零信任技术成为行业普遍关注的焦点。但是,在零信任理念下,企业需要面对海量的权限梳理和资产识别工作,涉及企业各个业务系统、认证系统、终端设备以及访问协议的对接,因此其建设的难度可想而知,很多零信任项目的开展最终都要面对
|
随着网络边界的消失,零信任技术成为行业普遍关注的焦点。但是,在零信任理念下,企业需要面对海量的权限梳理和资产识别工作,涉及企业各个业务系统、认证系统、终端设备以及访问协议的对接,因此其建设的难度可想而知,很多零信任项目的开展最终都要面对建设周期长、运维压力大、投入产出低的挑战。 1、零信任安全厂商是否能够帮助用户充分利用现有的网络安全基础设施? 在采用零信任理念之前,很多企业多年来在安全和网络软硬件设备上已经投入了大量的资金。安全厂商要有能力在尽可能利用现有技术和设备的同时,向零信任解决方案转型。 2、零信任安全厂商是否真正了解用户的零信任建设需求与目标? 一个优秀的零信任解决方案供应商在为企业制定方案计划时,不会只是浮于表面的在管理层面前高谈阔论,而是会根据企业组织目前所面临的实际业务挑战建立明确的解决方案,并在一定程度上保证这些方案的实施效果,力求达到企业组织所需的业务目标。 3、零信任安全厂商是否有能力将用户企业中的身份管理融入到未来的整体安全控制措施中? 身份安全是新一代安全架构体系建设的基础,零信任安全厂商要与企业组织的需求保持一致,并且有足够的技术能力帮助企业在网络系统中采用全面的身份管理策略来进行安全管控,这并不是一件容易的事。 4、零信任安全厂商是否能够帮助企业组织合理规划零信任建设的优先级,并快速取得阶段性应用效果? 安全厂商在为企业组织建设零信任解决方案时,应将用户体验放在首位,尽可能保证零信任方案在企业内部实施流程的顺畅性,否则员工会认为该方案阻碍了正常工作,会设法绕过方案中包含的安全管控环节。 针对这一问题,安全厂商可以在企业组织中部署基于数字证书的身份验证,并逐步淘汰那些烦人的用户名和密码认证。如果企业中的员工是通过云或其他面向互联网的应用软件来访问办公应用程序的,安全厂商可以帮助企业建立以一种无需密码、双因子身份验证支持的方式进行访问,这样企业员工对零信任方案的接受程度就会提升。 如此,企业高层在发现员工对零信任解决方案初步实施的认可之后,也更愿意为其他更为复杂的零信任项目提供资金支持。 5、 零信任安全厂商是否具备快速可靠的系统事件应急响应能力? 没有百分百的安全,对于网络安全系统来说同样会有发生故障的时候,一旦用户企业的身份安全管理系统或者其他零信任安全设施出现了故障,安全厂商不仅要考虑单点故障本身的修复,同时还要考虑可能出现的更为广泛的、连锁性的安全风险,因为导致这些单点故障的安全事件可能包括了针对性的黑客攻击、员工恶意行为等潜藏的危险。事件发生时,安全厂商要有能力帮助企业全面分析故障原因,是否存在被暴露的企业组织的账号信息?是否会导致非法的第三方访问?是否存在外部攻击者通过横向移动来绕过零信任的防御策略? 针对突发性的安全事件,安全厂商应该在为企业部署零信任解决方案时就尽可能全面的考虑到,并建立完善的补救策略。安全厂商应该帮助企业组织定期进行安全事件处置演练,从而在安全事件发生后,能够确保企业组织在第一时间知道应该如何进行最有效的处理,最大程度的降低企业损失。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐