IT 部门领导者可以采用的一些简单技巧，保护用户数据的同时简化身份和访问管理（IAM）并提高利益相关者的合规性。本文将带您了解实施零信任安全策略需要关注的首要任务，从而达到事倍功半的效果。

什么是“零信任”？

零信任是一种IT安全框架，一方面实施额外的强制验证步骤保护用户、设备和私人数据，用户只有在验证通过后方可访问IT资源，另一方面降低用户的访问权限，使其与明确的访问需求相匹配。本质上，零信任安全的目的在于为每次访问请求都建立信任，而不仅仅在第一次交互时建立信任。

零信任安全背后的逻辑很简单：企业如果仅凭识别标志就信任用户、设备和网络的身份是有效的，很容易出现安全风险。

原因在于黑客会窃取、模仿和伪造身份来骗取企业的信任。这也解释了零信任的奥义：成功减少网络攻击的唯一方法是“验证前一切皆不可信”。

零信任安全框架认识到用户、设备和服务都是易受网络攻击的切入点。因此，零信任有别于传统方法，利用IAM协议整合了额外的身份层、授权层和访问管理层（详见下文）。

零信任在2022年至关重要

鉴于全球近来出现的远程工作潮和云应用潮，保护混合工作环境显得尤为重要。Verizon 2021年发布的数据泄露调查报告（DBIR）显示，从2020年到2021年，全球数据泄露事件增加了33%。在5258起事件中，出于经济动机的数据泄露高达86%。

越来越多网络犯罪团伙使用僵尸网络（由遭到破坏的联网设备组成的自动化组）通过分布式拒绝服务（DDoS）攻击入侵目标或加强恶意活动（如发送大量垃圾邮件，窃取组织凭证，监视用户）的破坏性。

61%的数据泄露都源于出示的凭证（包括密码）。出于上述原因，IT经理和初创公司创始人对于应用零信任控制来保护数据也更加谨慎。

初创公司实施零信任策略的6个技巧

试想一下初创公司创始人永无止境的待办事项：产品工程，MVP转向，融资等等。如此看来，这些创始人在网络安全方面的拖延也不足为奇了。其实网络安全的部署可以很简单。下文将简要介绍希望实施零信任的初创公司可参考的重要提示：

1、以层为单位的整体性思考

初创公司首先应考虑企业最重要的数据并以此为线索继续进行初始的安全工作，问自己几个问题：

• 需要在哪里进行安全部署？

• 客户数据存储在哪里？

• 谁有权访问？

继续向下深挖就会将着眼点放在数据层。首先保护对攻击者最有价值的数据，然后逐步展开，这样能确保有限资源得以充分利用。

准备就绪后，再开始部署对终端的控制，从而进一步实施安全策略。

例如，是否存在可以验证的加密匹配项或某种系统密钥，该加密匹配项或系统密钥是否安装了主数据管理（MDM）？设备是否安装了杀毒软件？

最后，网络安全需要以层为单位整体思考，零信任原则也是以层为单位进行实施。专家建议初创公司投资 CASB 等终端防护软件，该类软件可以组织数据，帮助识别网络和设备中的异常活动。

2、启用多因素身份验证（MFA）

启用多因素身份验证（MFA）是企业能最快取得实效的方法。MFA 是一种实现软件安全的方法，要求用户输入至少两个登录因素进行身份验证。

MFA 涉及的因素可以分为“用户拥有的”或“用户天生具有”的证明身份的因素。最常见的 MFA 因素是知识验证，可以采用密码、密码短语、PIN 码和私人问题的形式。

其他 MFA 因素包括持有物、固有属性、位置和行为。由于大多数工程师都熟悉 MFA，添加这一额外的登录安全层也不会花费太多成本。

3、采用单点登录（SSO）

单点登录（SSO）是企业应考虑的另一个重要保护措施。安全和合规优先需要执行一系列 IAM 和 AWS 策略，为此企业需要考虑应如何将这些策略与各角色的相关职责联系起来。

此外，普通员工登录多个应用程序时需要记住许多不同的用户名和密码组合。在此情况下，实现合规最简单的方法就是实施单点登录技术。

4、像对待员工一样对待外部用户

网络安全管理中经常被忽视的一个方面是第三方承包商的加入和离开。大多数初创公司可能都会和一些承包商合作，以满足任何特定时刻的各种营销、行政和技术需求。

宁盾认为对待厂商、承包商和第三方应和对待员工一样：无论是个人设备还是公司设备都应安装代理，而且必须围绕企业规定的设备要求制定政策，并打开防火墙。

当然，要求第三方管控采购过程有时也不可靠。最后，初创公司还必须平衡经营企业的固有风险和对安全的期望。

安全人员的工作是帮助组织在正确的时间承担适当的风险。然而实际上总会有例外，例如对于重要的第三方来说，可能存在提供设备成本过高，或禁止安装部分软件等问题。

企业应确保在业务协议结束时妥善处理承包商和厂商的账号下线。另外需要特别注意，任何人访问企业数据的时间都不应超过实际所需的时间。

5、让高层参与零信任部署

企业应清楚理解零信任安全措施与企业目标之间的联系。这里的安全是指安全开展业务的方法。如果创始人希望团队远程工作，就必须优先考虑安全。

传达零信任价值的最佳方式是避免使用技术黑话，同时专注于协议背后的原因。此外，还要为管理层着想，具体可参考以下问题：

这些安全措施将如何加快交互？

如何加强与现有客户的信任？

这些安全方面的改进是否会让筹备中的项目更具前景？

越能清楚呈现网络安全与客户增长之间的联系，管理层就会越支持安全部署。

同时，不应低估“数字外观吸引力”的价值。购房者会对杂草丛生的地块表示担忧，同样，理智的 B2B 消费者面对 SSL 评级不佳的情况，也会犹豫是否要开展业务。管理层不需要知道 SSL 评级的含义，但应了解 SSL 对信任的重要性。

最后，实施零信任策略还需要转变企业文化，即优先考虑网络安全。再次说明，企业的利益相关者不需要成为IT专家，但需要意识到网络安全的重要性。

6、关注细节

速度是创业公司早期的一大衡量指标。

想象一下这样一个场景：销售代表一直都为重要的潜在客户提供定制化的产品演示，如果在演示前一天晚上无法登录帐户，会发生什么？缺少定制会如何影响交易？

为此，IT 管理员必须充分了解各种后端设置对系统环境的影响。有不少初创公司都有这样的经历：

“我们无意中创造了一个竞争条件：新建账号不打开 MFA 就无法登录，可不登录就不能设置 MFA 。”

在上述案例中，企业本应为实施 MFA 设置宽限期，也正是这些细节决定了零信任的成败。在最开始就在适当位置设置正确的防护，如此一来随着客户群的增长，安全框架的实施也会更顺利。

进入零信任时代，企业在移动化转型过程中难免会遇到各种问题，实施零信任安全是有效的解决方案之一，但绝非一蹴而就，特别是对于有复杂IT环境和大量遗留系统的中大型企业来说，零信任安全框架需要循序渐进的系统性部署，才能保障长期的安全改革。