หลักการออกแบบ Zero Trust

Nov 29 2022

ด้วยความไม่พอใจทั้งหมดเกี่ยวกับ Zero Trust จึงเป็นเรื่องที่น่าผิดหวังเมื่อผู้ขายอ้างว่าผลิตภัณฑ์ของตนเป็น "Solution" ของ Zero Trust ตัวอย่างเช่น ในโพสต์เมื่อเช้านี้ คนรู้จักของฉันแบ่งปันโซลูชันทางเทคนิคบางอย่างเพื่อช่วยให้บรรลุแนวทาง Zero Trust แต่ข้ามขั้นตอนแรกของหลักการออกแบบ Zero Trust

หลักการ Zero Trust โดย John Kindervag

ตามหลัก Zero Trust Principles ของJohn Kindervagคุณเริ่มต้นด้วยสิ่งต่อไปนี้:
* กำหนดพื้นผิวป้องกัน (ซึ่งคุณต้องทำงานร่วมกับธุรกิจเพื่อทำความเข้าใจสิ่งที่สำคัญในการรับชม)
-> จะมี "พื้นผิวปกป้อง" มากกว่าหนึ่งรายการ และอาจมากกว่าหนึ่ง "ปกป้องพื้นผิว" สำหรับแอปพลิเคชันทางธุรกิจหนึ่งๆ
* แม็ปขั้นตอนการทำธุรกรรม (ซึ่งหมายถึงการทำความเข้าใจกระบวนการทางธุรกิจ วิธีการไหล และสามารถออกแบบได้ดีที่สุดโดยพิจารณาจากข้อจำกัดใดๆ)
->ดูสิ่งที่จำเป็นต้องได้รับการปกป้อง , ใครจำเป็นต้องเข้าถึง , เมื่อใดที่ต้องเข้าถึง , และเหตุใดจึงต้องเข้าถึง
* สร้างสภาพแวดล้อมแบบ Zero Trust (ซึ่งหมายถึงการรวมพื้นผิวที่มีการป้องกัน ขั้นตอนการทำธุรกรรม และสภาพแวดล้อมที่มีการเข้าถึงแบบเปิดเป็นศูนย์สำหรับบุคคล/ระบบที่ไม่จำเป็นต้องเข้าถึง)
* สร้างนโยบาย Zero Trust (การออกแบบที่เป็นทางการ การกำกับดูแล playbooks การตอบสนองต่อเหตุการณ์ ฯลฯ ซึ่งจะกำหนดวิธีการสร้างระบบ)
* ตรวจสอบและบำรุงรักษา (ซึ่งทำให้มั่นใจได้ว่านโยบาย Zero Trust ได้รับการจัดการ บังคับใช้ และทำงานต่อไปในลักษณะที่ออกแบบไว้ หากไม่มี กระบวนการสำหรับการป้องกันนั้น ควรออกแบบพื้นผิวใหม่)

อย่างที่คุณเห็น Zero Trust เป็นกลยุทธ์การออกแบบที่นำไปสู่สิ่งที่สามารถจัดการและวัดผลได้ การเพิ่มเครื่องมือลงในสแต็กจะไม่เท่ากับสภาพแวดล้อม Zero Trust หากพื้นผิวป้องกันและขั้นตอนการทำธุรกรรมไม่ได้ออกแบบโดยคำนึงถึง Zero Trust