访问策略和工作配置文件应基于支持零信任策略并应与企业的访问期望保持一致。这为企业的每个团队提供一套标准,确定哪些应用程序允许以及应授予何种级别的风险适当的访问权限。这使得安全团队可以通过 ZTNA 部署更快地取得进展。
早期采用者报告说,在 ZTNA 之前执行应用程序映射部署有助于验证该策略。应用程序映射工具可识别谁在使用每个应用程序以及该应用程序的访问方式;他们还可以绘制应用程序之间的依赖关系图。
ZTNA 项目经理报告说,即使他们可以使用应用程序发现工具,确定哪些用户需要访问哪些应用程序需要进行大量工作。 一建议扭转该方法并识别单个应用程序,然后映射用户。最好尽早开始这项工作,然后迭代其他应用程序,需要如下所示。
许多 ZTNA 供应商提供此功能作为解决方案的一部分(如果部署在“开放”或“监控”模式,一些采用者已利用这一点来发挥自己的优势。其他正在进行中的方法(例如使用组织内已部署的工具集)可以提供帮助。执行基于工具的映射不是强制性步骤应用程序;但是,如果有可用的工具,它确实有助于 ZTNA 用来部署过程。
通过消除过程,安全领导者可以利用这些映射工具来验证所定义的理论政策是否满足商业领袖的访问期望。在此过程中识别其他访问用例并不罕见,在制定访问政策期间可能没有确定的问题。
通过首先建立策略,然后验证应用程序的使用情况,企业可以将理论与实际联系起来。这可能会关闭任何一个不可预见的差距或为业务未意识到的用例建立新的策略。这将产品巩固到一个强大的战术位置,以满足组织的主要需求在整个企业中部署零信任技术的目标。
清理对应用程序的访问
在发现和映射阶段,许多现有的应用程序访问策略将被删除,可能需要调整和调整。这是消除应用程序的好机会,不再相关的访问权限和授权。到了这个阶段过程中,安全领导者应该有很好的了解:
· 哪些用户或系统需要访问应用程序和数据源
· 哪些已建立的业务数据源受到应用程序的保护,以及对需要访问的数据进行分类
· 用户应如何以及在何处访问应用程序和数据
· 谁有权或使用特权访问以及出于什么目的
· 哪些资源受到业务认可,以及用户正在使用的验证他们以预期的方式
· 哪些应用程序不受制裁以及为什么使用这些应用程序
· 应消除或限制使用哪些应用程序或工具
一些组织已向 Gartner 报告称,他们调整了远程访问升级应用程序和服务现代化的总体路线图。这促使企业推迟对某些应用程序的访问权限的更改,因为该应用程序计划迁移到 SaaS 模型。
一些 ZTNA 早期采用者报告说,他们能够更改或消除已转换为不同角色或已离开公司的用户的权限,这是用户生命周期管理不善的一个例子。一些早期采用者还报告称,他们终止了与其合作的各方(承包商)的访问权限,他们不再有业务关系。
在此应用程序清理过程中,IGA 指南和访问策略都应必要时进行维护和更新,以便基线业务政策不会下降或与正在实施的变革不同步。
为运营开销和复杂性做好准备
安全是一个连续的生命周期;它永远在发展,采取“一套”ZTNA 政策的“忘记”方法是不现实的。具有 ZTNA 经验的组织部署报告称他们正在不断调整策略。和新的一样部署应用程序或数据源(包括季节性应用程序)后,ZTNA团队将需要添加新的访问策略以适应变化
商业。 现有的访问策略也可能需要作为应用程序或数据进行修改源(类型)发生变化,或者当安全领导者发现需要更细粒度或限制性政策。
这也可能潜在地影响服务台或ZTNA的流程更改实现团队没有做好准备,并且被访问请求淹没,开放对以前可以访问的其他资源的访问。ZTNA应该充分利用工具功能来促进和记录任何策略变化。
ZTNA团队应该接受这样一种心态:总是有需要改进的地方,随着时间的推移,细化访问策略。与客户保持沟通是很重要的,应用程序和系统所有者要了解:
· 用户应该访问业务部门内的哪些资源?
· 哪些内部和外部用户需要访问权限,以及他们应该如何访问系统?
· 业务部门内的哪些资源需要提升特权?为什么?
· 哪些应用程序或数据应受到限制或需要业务部门额外批准?
· 是否有任何新项目或重大变化可能需要政策修改?
这些问题的答案可能会促使对既定访问的更改策略,并在ZTNA生命周期内将流程推向新修改、经过测试和验证的访问策略。
过于严格或大量的细粒度策略最初将影响服务台团队或ZTNA实现团队,因此必须开发一个明确的例外流程地址访问请求修改。企业必须确定它应该授予支持团队多少进行任何访问修改的自主权和允许更改访问级别。异常流程必须维护一个验证步骤,以便在修改访问策略时,它们继续与业务预期和不引入不必要的风险。
部署ZTNA策略可能会带来一些操作上的变化。例如,帮助台和IT支持人员应该意识到典型的端点管理,这可能依赖于第三层VPN访问端点(用于修补或远程支持),将需要替代的管理路径。许多ZTNA提供商都在引导流量在应用层(第7层),所以自动更新任务可能有在新的ZTNA下,在传统VPN上工作成功的VPN可能不再工作模型。与端点管理团队合作,在实现ZTNA解决方案之前使端点管理现代化。(有关更多信息,请参见使Windows现代化和第三方应用程序补丁。)
验证访问控制和资源隔离
零信任的一个关键原则是永远不要隐式信任,而要始终验证。这个理想的验证原则也应应用于业务的内部安全及整个企业的控制和实现。
信息安全是一个连续的生命周期,包括战略、架构、实施、操作和验证。验证阶段常常被忽视;这就是企业应该评估自己的安全控制并建立已知的“现状”状态每隔一年遵守一次。安全控制的验证应该是ZTNA规划过程并纳入整体安全方案。安全领导者应该制定一个计划和流程来测试和验证方法的有效性ZTNA政策。
保证评估可以有多种形式,例如内部自我评估、ZTNA 解决方案或外部咨询公司内的安全报告工具提供控制测试服务。测试计划的目标是了解两个领域:隔离受保护的资源,保证受保护的用户的访问权限系统符合组织的访问策略。该验证建立了当前ZTNA 环境的合规状态,并揭示可能存在的任何潜在差距需要补救。
建议一旦部署 ZTNA 技术并且相对稳定已实现,企业应对ZTNA进行保证评估环境。应定期进行此类安全评估,主要由组织的风险偏好驱动。一般来说,大多数组织将通过与外部或第三方安全咨询公司合作来执行此步骤,其顾问精通现代攻击技术。
证据
这项研究基于 Gartner 对多个早期和成熟采用者的采访
ZTNA 技术。
有关零信任成熟度模型的更多信息,请参阅网络安全与基础设施安全局的 CISA 零信任成熟度模型。欲了解更多信息零信任架构,请参阅国防部的零信任参考架构。
文档修订历史
实施零信任网络访问的最佳实践-2021年6月10日
作者推荐
某些文档可能无法作为您当前 Gartner 订阅的一部分提供。
零信任网络访问市场指南
安全服务边缘魔力象限
2022 年 SASE 融合战略路线图
实施零信任的实际项目有哪些?
新兴技术:零信任网络访问的采用增长洞察
成功的身份治理和管理部署指南
IAM 领导者身份治理和管理指南
© 2022 Gartner, Inc. 和/或其附属公司。 版权所有。 Gartner 是以下公司的注册商标
Gartner, Inc. 及其附属公司。 本出版物未经 Gartner 事先书面许可不得以任何形式复制或分发。 它包含 Gartner 研究的意见组织,不应将其视为事实陈述。 虽然其中包含的信息。本出版物是从据信可靠的来源获得的,Gartner 不承担所有保证此类信息的准确性、完整性或充分性。尽管 Gartner 研究可能解决法律和财务问题,Gartner 不提供法律或投资建议及其研究不应如此解释或使用。您对本出版物的访问和使用受Gartner 的使用政策。 Gartner 以其独立性和客观性的声誉而自豪。它是研究由其研究组织独立进行,不受任何人的投入或影响。欲了解更多信息,请参阅“独立性和客观性指导原则”。