随着云平台和移动互联网的发展,传统的 *** 边界逐渐被打破,企业与外部合作伙伴建立可信的联系变得越来越重要,越来越多的供应商需要远程访问公司 *** ,因此管理、监控和保护这些外部特权访问已成为一个热点问题。
那么,如何通过任何设备创造一个安全、可靠、无缝地连接到任何资源的无边界 *** 环境呢?
设定目标,制定清晰的路线图,成功实现无边界 *** 划分有效途径。
多年来,企业一直在讨论如何有效改善整体安全状况的策略——划分无边界 *** 。虽然这被广泛认为是最有效的 *** ,但在当今不断发展的动态环境 *** 边界中,详细的实施、扩展和管理是非常具有挑战性的。新连接设备的组合、不断变化的商业模式、满足访客的需求、监管要求和不断变化的威胁可能使其成为一项复杂的任务。此外,用户还需要一套覆盖学校、数据中心和云环境的整体控制 *** 来完成任何端到端“ *** -端点”连接。否则,用户最终将面临各种导致使用复杂性增加的划分策略,这也可能对系统安全和用户体验产生负面影响。
然而,这个问题不应该阻碍 *** 的发展和进步。正如汽车之王亨利福特所说:如果你能把你所做的变成零,就没有什么特别困难的了。亨利福特不仅改变了工业生产力,而且促进了工业革命的发展,他自己的 *** 论也被使用到今天。
本文秉承化为零的精神,将如何成功划分 *** 边界分为六个步骤。以下内容对无边界 *** 的成功划分起着至关重要的作用,无论是企业内运维人员,还是即将制定无边界 *** 划分计划的项目组,还是正在考虑使用第三方咨询服务的组织。
一步:定义目标
设定目标并制定明确的计划是成功细分的有效途径。为了完成计划,需要考虑以下关键问题:
- 划分计划应考虑哪些业务流程和安全驱动因素?
- 现有资产的分类标准是什么?
- 企业业务流程中哪些资产至关重要?
- 企业业务流程中常见的威胁是什么?
- 如何利用技术和流程来应对这些威胁?
- 安全因素是否包含在技术实施计划中?
- 企业的主要业务优先事项是什么?如何与当前的企业安全计划保持一致?
- 企业的痛点是什么?
以上信息有助于通过了解业务目标和驱动因素、关键业务资产、已知风险和当前企业安全状况,全面明确和制定先进战略。这也有助于确定如何降低安全风险和制定技术规划的后续步骤和优先级。
第二步:资产的识别、分类和优先级
通过与关键利益相关者的密切合作,企业现可以根据业务的影响、风险、功能和监管要求,定义资产收集并对其进行分类。该分类用于定义安全控制功能,并帮助通过明确定义的标准设置优先级。例如,如果医院将放射学设备视为关键资产,则应识别这些设备并将其与类似设备分组。保险业可能认为所有的业务服务都同样重要,并将其结合在一起,但由于实际收入或合规性的影响,公司服务的重要性可能会有所不同。
第三步:支持和增强战略的可视性
这一步需要在第二步验证工作内容:为了保证没有遗漏,需要了解实际流量和设备。这个过程包括:流量类型(南北流量和东西流量,即server-client流量和server-server流量);收集流量的所有物理和虚拟设备;收集数据的位置(WAN边界、接入层、云);用于监控、分析和报告信息的数据源和分析平台。使用正确的工具和流程有助于识别要划分的实际设备或使用其他划分策略。这使得企业能够找到未知的设备和流量模式,这对于了解实际环境中的情况,及时调整计划的实施时间、 *** 和来源至关重要。
第四步:技术设计和策略制定
功能划分解决方案主要分为两个方面:详细的技术设计和深思熟虑的细分策略。
技术设计应由组织的优先级、技术能力和运营影响驱动。目标是开发和部署划分策略所需的一组特定设备、设计和配置,使其按预期运行。这些设计用作部署蓝图,通常包括路由器/交换机的基础设施、 *** 架构和IP详细信息:地址范围/子网、战略实施解决方案、具有动态访问控制列表的交换机等分段技术。
划分策略应与组织的业务目标相统一,并在整个组织中保持一致。优秀的划分策略平衡了简单性和粒度,并根据通常所理解的不可能变化的功能特征分段放置设备,这对组织具有重要意义。
例如,医院可以从一般系统组开始,比如医院管理、实验室、药房和生物医学的系统组。这种更高级别的 *** 提高了安全性,同时最小化了复杂性和操作影响。后期阶段可以提供更细粒度的划分策略,且对整体业务影响较小。按功能对类似设备进行分组也有帮助。无需为每个品牌的MRI(核磁共振)设备创建了一个单独的片段,相反,所有的片段都被创建了MRI与其它成像设备一起放置在同一段。
第五步:验证设计和策略
通过详细的技术设计和细分策略,最终部署模型可以根据一步开发的原始业务目标进行审核。所有关键利益相关者都应包括在审计和签署中,因为这是在无边界 *** 划分过程中重要在部署开始前进行重大调整。收集所有关键业务,IT确认设计符合功能和技术业务目标和技术业务目标,实施顺利发展。
第六步:执法和监督
正确的执法 *** 可以保证组织政策的动态性,保持划分计划的可持续性。它可以通过多种方式帮助企业提供跨校园、数据中心和云的 *** 流量数据可视化解决方案。首先, *** 流量数据可以与用户和实体行为进行分析(UEBA)并结合机器学习,为 *** 和连接设备创建基线。通过比较从流数据衍生中观察到的 *** 行为来定义策略,解决方案可以确认部署的策略是否按预期执行。这一步加快了审计过程,确保划分策略能有效降低面积和企业安全风险。
*** 划分是每个组织都必将历经的旅程。无论企业内部是否存在员工能够推动划分项目的进程,或企业正在考虑启用第三方咨询服务,本文中讨论的六个步骤都能为企业提供成功的道路。
更重要的是,除了通过限制 *** 进入时的横向移动来保护关键资产外,通过实施划分无边界 *** 的计划可以快速获得额外的好处。可见性和划分技术有助于加强组织的整体安全运行。企业安全团队与安全运营中心集成后,将能够利用这些工具生成的数据更快地检测和响应漏洞,最终缩短暂停时间。
【本文是51CTO专栏作者“李少鹏”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。