在 COVID-19 大流行爆發(fā)之前，美國國防部 （DoD） 已經(jīng)朝著完全無邊界的安全環(huán)境邁進。現(xiàn)在，該機構已經(jīng)全面進入了一個幾乎開放的領域，過去存在的物理限制已基本消除，針對其勞動力、工具、供應鏈和運營的新型威脅比比皆是。

國防部的回應是瞄準零信任網(wǎng)絡安全架構，但這種做法也存在自己的問題。不斷重申用戶和系統(tǒng)身份并強制執(zhí)行授權的需求可能會產(chǎn)生巨大的摩擦 - 定義為由于安全要求而阻止或延遲主要任務的任何情況 - 這鼓勵使用繞過或過度廣泛的訪問，這兩者都不利于成功的防御行動。

但是，通過自動化和虛擬化的基礎架構以及用戶行為分析，國防部可以保持強大的零信任立場，同時顯著減少摩擦和用戶挫敗感。方法如下。

自動執(zhí)行聲明性訪問

零信任需要更多的系統(tǒng)檢查：用戶的訪問需求不斷變化，身份驗證和授權程序需要不斷更新。使用手動干預來跟上這些檢查和更改可能效率低下并帶來風險。

最好使用聲明性訪問控制，而不是命令性控件。使用聲明性訪問模型，系統(tǒng)設置為根據(jù)基礎交互的意圖和需求提供訪問。通常，對與用戶需求匹配的規(guī)則進行編碼本質上側重于數(shù)據(jù)保護屬性：例如，類型、來源和傳播。相反，命令式模型依賴于參與者及其行為的關系。隨著參與者的變化或系統(tǒng)的發(fā)展和相互集成，聲明式訪問控制更加一致和可預測 - 就像國防部向云和邊緣計算沖刺時的情況一樣。

國防部已經(jīng)朝著這個方向前進，但大流行加速了對基于屬性的訪問控制 （ABAC） 和基于角色的動態(tài)訪問控制 （RBAC） 的需求。ABAC 會考慮特定的用戶屬性，并在決定是否允許訪問時考慮這些屬性。動態(tài) RBAC 支持基于用戶角色或職務等傳統(tǒng)屬性進行訪問，但也將訪問權限限制為僅特定任務所需的功能。動態(tài) RBAC 還可能考慮微妙之處，例如不同的經(jīng)驗和認證級別。

這兩種做法都需要一個底層的自動化層，可以立即將聲明性請求轉換為命令性授權、授權限制或完全阻止請求。以無縫方式自動安全地授權訪問可以使用戶實時獲取所需的信息或使用新系統(tǒng)，而不會影響安全性。

虛擬化安全環(huán)境

即使用戶可以訪問信息，他們使用的系統(tǒng)仍然有可能不像以前那樣安全。盡管云越來越普遍，但在大流行之前，國防部仍然通過物理方式處理其大部分安全性。人們使用國防部發(fā)行的筆記本電腦，通常是在國防部的網(wǎng)絡和系統(tǒng)上。這些系統(tǒng)使安全管理員更容易判斷用戶的計算機是否具有適當?shù)牟《痉雷o，并圍繞安全性做出合理的斷言。

當所有人都遠程時，許多物理保證突然消失了。雖然軍事人員仍在使用高度安全的設備，但許多在國防部工作的人更多地依賴可能并不完全安全的個人筆記本電腦和智能手機。

虛擬化安全性可以幫助團隊克服這一挑戰(zhàn)。虛擬系統(tǒng)可以通過在用戶和他們正在訪問的系統(tǒng)之間提供抽象層來幫助管理員恢復其機構的安全態(tài)勢。管理員可以將保護措施（例如過濾、協(xié)議中斷以及自動備份和還原）插入其虛擬基礎架構中，以保護系統(tǒng)免受他們可能接觸到的任何惡意軟件的侵害。如果這些保護措施失敗，虛擬環(huán)境可以最大限度地減少其潛在的網(wǎng)絡安全爆炸半徑。

用戶行為分析中的分層

完成無摩擦零信任圖：實現(xiàn)用戶行為。可以根據(jù)用戶的行為模式對其進行監(jiān)控;任何與正常模式的偏差都可能表示異常行為，表明用戶可能已受到威脅。

例如，用戶可以從他們在華盛頓特區(qū)的家庭辦公室訪問網(wǎng)絡，片刻之后，他們的憑據(jù)可用于從國外的IP地址訪問不同的數(shù)據(jù)集。檢測到此異常活動后，系統(tǒng)可以自動降低與用戶關聯(lián)的信任級別，并且僅降低該用戶。此操作可保護網(wǎng)絡，而無需將其他用戶排除在系統(tǒng)之外，這使他們能夠繼續(xù)工作而不會遇到任何不必要的中斷。

零信任網(wǎng)絡安全不一定是一種痛苦或破壞性的體驗。通過采用自動化、虛擬化和行為分析，管理員可以保護其網(wǎng)絡，并在同事執(zhí)行任務時為他們提供支持。

審核編輯：郭婷