在 COVID-19 大流行爆發(fā)之前，美國國防部 （DoD） 已經(jīng)朝著完全無邊界的安全環(huán)境邁進(jìn)?，F(xiàn)在，該機(jī)構(gòu)已經(jīng)全面進(jìn)入了一個(gè)幾乎開放的領(lǐng)域，過去存在的物理限制已基本消除，針對其勞動(dòng)力、工具、供應(yīng)鏈和運(yùn)營的新型威脅比比皆是。

國防部的回應(yīng)是瞄準(zhǔn)零信任網(wǎng)絡(luò)安全架構(gòu)，但這種做法也存在自己的問題。不斷重申用戶和系統(tǒng)身份并強(qiáng)制執(zhí)行授權(quán)的需求可能會(huì)產(chǎn)生巨大的摩擦 - 定義為由于安全要求而阻止或延遲主要任務(wù)的任何情況 - 這鼓勵(lì)使用繞過或過度廣泛的訪問，這兩者都不利于成功的防御行動(dòng)。

但是，通過自動(dòng)化和虛擬化的基礎(chǔ)架構(gòu)以及用戶行為分析，國防部可以保持強(qiáng)大的零信任立場，同時(shí)顯著減少摩擦和用戶挫敗感。方法如下。

自動(dòng)執(zhí)行聲明性訪問

零信任需要更多的系統(tǒng)檢查：用戶的訪問需求不斷變化，身份驗(yàn)證和授權(quán)程序需要不斷更新。使用手動(dòng)干預(yù)來跟上這些檢查和更改可能效率低下并帶來風(fēng)險(xiǎn)。

最好使用聲明性訪問控制，而不是命令性控件。使用聲明性訪問模型，系統(tǒng)設(shè)置為根據(jù)基礎(chǔ)交互的意圖和需求提供訪問。通常，對與用戶需求匹配的規(guī)則進(jìn)行編碼本質(zhì)上側(cè)重于數(shù)據(jù)保護(hù)屬性：例如，類型、來源和傳播。相反，命令式模型依賴于參與者及其行為的關(guān)系。隨著參與者的變化或系統(tǒng)的發(fā)展和相互集成，聲明式訪問控制更加一致和可預(yù)測 - 就像國防部向云和邊緣計(jì)算沖刺時(shí)的情況一樣。

國防部已經(jīng)朝著這個(gè)方向前進(jìn)，但大流行加速了對基于屬性的訪問控制 （ABAC） 和基于角色的動(dòng)態(tài)訪問控制 （RBAC） 的需求。ABAC 會(huì)考慮特定的用戶屬性，并在決定是否允許訪問時(shí)考慮這些屬性。動(dòng)態(tài) RBAC 支持基于用戶角色或職務(wù)等傳統(tǒng)屬性進(jìn)行訪問，但也將訪問權(quán)限限制為僅特定任務(wù)所需的功能。動(dòng)態(tài) RBAC 還可能考慮微妙之處，例如不同的經(jīng)驗(yàn)和認(rèn)證級(jí)別。

這兩種做法都需要一個(gè)底層的自動(dòng)化層，可以立即將聲明性請求轉(zhuǎn)換為命令性授權(quán)、授權(quán)限制或完全阻止請求。以無縫方式自動(dòng)安全地授權(quán)訪問可以使用戶實(shí)時(shí)獲取所需的信息或使用新系統(tǒng)，而不會(huì)影響安全性。

虛擬化安全環(huán)境

即使用戶可以訪問信息，他們使用的系統(tǒng)仍然有可能不像以前那樣安全。盡管云越來越普遍，但在大流行之前，國防部仍然通過物理方式處理其大部分安全性。人們使用國防部發(fā)行的筆記本電腦，通常是在國防部的網(wǎng)絡(luò)和系統(tǒng)上。這些系統(tǒng)使安全管理員更容易判斷用戶的計(jì)算機(jī)是否具有適當(dāng)?shù)牟《痉雷o(hù)，并圍繞安全性做出合理的斷言。

當(dāng)所有人都遠(yuǎn)程時(shí)，許多物理保證突然消失了。雖然軍事人員仍在使用高度安全的設(shè)備，但許多在國防部工作的人更多地依賴可能并不完全安全的個(gè)人筆記本電腦和智能手機(jī)。

虛擬化安全性可以幫助團(tuán)隊(duì)克服這一挑戰(zhàn)。虛擬系統(tǒng)可以通過在用戶和他們正在訪問的系統(tǒng)之間提供抽象層來幫助管理員恢復(fù)其機(jī)構(gòu)的安全態(tài)勢。管理員可以將保護(hù)措施（例如過濾、協(xié)議中斷以及自動(dòng)備份和還原）插入其虛擬基礎(chǔ)架構(gòu)中，以保護(hù)系統(tǒng)免受他們可能接觸到的任何惡意軟件的侵害。如果這些保護(hù)措施失敗，虛擬環(huán)境可以最大限度地減少其潛在的網(wǎng)絡(luò)安全爆炸半徑。

用戶行為分析中的分層

完成無摩擦零信任圖：實(shí)現(xiàn)用戶行為?？梢愿鶕?jù)用戶的行為模式對其進(jìn)行監(jiān)控;任何與正常模式的偏差都可能表示異常行為，表明用戶可能已受到威脅。

例如，用戶可以從他們在華盛頓特區(qū)的家庭辦公室訪問網(wǎng)絡(luò)，片刻之后，他們的憑據(jù)可用于從國外的IP地址訪問不同的數(shù)據(jù)集。檢測到此異常活動(dòng)后，系統(tǒng)可以自動(dòng)降低與用戶關(guān)聯(lián)的信任級(jí)別，并且僅降低該用戶。此操作可保護(hù)網(wǎng)絡(luò)，而無需將其他用戶排除在系統(tǒng)之外，這使他們能夠繼續(xù)工作而不會(huì)遇到任何不必要的中斷。

零信任網(wǎng)絡(luò)安全不一定是一種痛苦或破壞性的體驗(yàn)。通過采用自動(dòng)化、虛擬化和行為分析，管理員可以保護(hù)其網(wǎng)絡(luò)，并在同事執(zhí)行任務(wù)時(shí)為他們提供支持。

審核編輯：郭婷