云安全联盟提倡零信任安全策略
主要要点
- 云安全联盟发布报告,推荐在关键基础设施组织的运营技术和工业控制系统中采用零信任安全策略。
- 零信任方法强调对用户和应用程序访问的持续验证,挑战传统信任假设。
- 报告针对能源、医疗和金融服务等关键行业的安全需求,特别是针对来自国家级威胁的攻击。
- 提供了一个五步战略来实施零信任,包括资产清单、风险优先级、数据流映射等。
根据,云安全联盟发布了一份报告,推荐在关键基础设施组织的运营技术和工业控制系统中采用方法。这不仅因为这些实体通过云和工业物联网技术的互联互通越来越紧密,也因为面临着来自国家级攻击者(如中国、俄罗斯和伊朗)的威胁。
零信任安全方法的核心是持续验证用户和应用程序的访问权限,摒弃了传统的信任假设。报告特别关注保障能源、医疗和金融服务等关键部门的安全,这些领域在面对空前的网络威胁时,显得尤为紧迫。为此,报告详细描述了一项五步战略,以帮助这些复杂环境中实施零信任安全:
- 资产清单 :首先进行全面的资产清点与评估。
- 风险优先级 :随后确定风险的优先级,确保资源集中于最紧急的安全需求。
- 数据流映射 :接着,对数据流进行映射,了解数据在网络中的传输路径。
- 设计零信任架构 :根据实际需求构建零信任架构。
- 创建限制访问策略 :采用严格的访问控制策略以保护敏感信息。
- 持续监控 :保持对网络的持续监测,及时发现潜在威胁。
报告还强调了在高度集成的网络中保护老旧系统的独特挑战,因为空中隔离的系统已经很少见。现代化挑战包括处理遗留协议和调整系统,以实现实时监控而不干扰日常运营。因此,实施零信任安全策略不仅要求对技术的更新换代,更涉及到对整个组织安全文化的深远影响。
相关链接 : – –
