IT 安全方案，但是簡易版

自遠端辦公大規模推行以來，網絡犯罪案件數量猛增且仍處于上升态勢，網絡安全也是以受到越來越多關注。面對新的辦公環境，企業也在思考保護網絡和資産安全所需的措施。  

企業不斷重視安全需求已經成為 IT 市場的一大熱點。但 IT 安全的熱度雖高，安全需求的實作難度和複雜性并沒有是以而降低，尤其是對于資源和預算有限的企業而言，落實安全仍然需要付出很高的成本。

其實，安全方案并不一定會很複雜。本文将深入淺出地講解企業維護 IT 安全需要了解的基礎知識。

1. 現代企業的 IT 安全需求有哪些變化？

随着辦公場所對效率靈活性和移動裝置的需求不斷增長，企業開始轉向雲服務。2020年開啟的遠端辦公潮中，為了向遠端員工繼續提供企業 IT 資源，越來越多企業采用了 SaaS 雲服務。現在，混合雲或純雲基礎架構以及 SaaS 工具已經成為了各類企業的标配。 

另一方面，也有不少企業在遠端辦公期間依然延續了原有的網絡邊界安全模型，該模型在企業内網建立了防火牆作為網絡邊界，任何通過使用者名密碼等方式進入邊界内部的人都可以在企業内網中自由移動。

但是本地網絡的概念已經基本消失，沒有實體基礎設施可以在企業内網建立邊界。而防火牆和其他邊界安全技術也不能保護公司内部基礎設施之外的雲資源。在這種情況下，企業又該如何保護基于雲的新環境？

2. 什麼是零信任安全？

零信任是一種滿足現代雲環境需求的安全方案，彌補了傳統網絡邊界安全架構的不足，在過去幾年和遠端辦公一樣廣受歡迎。

零信任也已經成為 IT 市場中的常見術語，隻是人們往往認為零信任的概念過于複雜，其實零信任的本質很簡單，就是強制執行最低特權（PLP）原則，在網絡中的任何一處都要求身份驗證。

3. 如何實作零信任？

零信任行業上司者 Forrester 釋出的《零信任部署指南》列出了實作零信任安全的具體步驟：

1）評估目前企業環境的狀态。企業應了解零信任部署的成熟度、長期安全計劃以及可能影響零信任實施的其他元素和操作。評估目前的環境狀态還可以發現安全方面不夠成熟的地方，這樣在規劃零信任部署路線圖時就知道哪些領域需要優先考慮。

2）設定目标。企業可以根據零信任部署的成熟度評估和現有安全計劃中的資訊設定零信任部署的總體目标，再将總體目标拆分成一個個小目标，确定達成的期限。

3）規劃零信任部署路線圖。确定了大架構以後就可以補充細節，包括需要實作的功能以及部署時間。

4）根據路線圖分階段實施。零信任部署應該循序漸進，謹慎推進、接收不完全的零信任狀态也是整個部署過程必不可少的一部分。

上述提到的零信任部署路線圖将零信任架構分為五個關鍵部分：  

• 身份
• 裝置
• 工作負載
• 網絡
• 資料

企業可以根據這五大要素拆分路線圖并設定具體目标。路線圖基于企業設定的目标、目前基礎架構、安全計劃以及可用資源，是以每個企業制定的路線圖都不同。

4. 如何簡單有效地維護 IT 安全？

過于複雜的安全方案可能反而會阻礙實施，影響部署效果。以下6個零信任措施能保障簡單有效的使用者體驗：  

1）基于推送或生物識别的多因素認證

基于推送的多因素認證（MFA）允許使用者在個人裝置上确認推送通知就能完成身份驗證。基于生物識别的多因素認證（MFA）支援指紋或面部識别。兩種方法都無需輸入密碼或随身攜帶安全密鑰。 

2）單點登入

單點登入（SSO）不需要使用者記住每個賬号的使用者名密碼，隻用一組使用者名密碼就能登入多個資源，還能做到賬号生命周期自動管理、身份資料自動流轉、使用者自助服務、身份自動審批等，滿足企業特殊需求。

3）移動裝置管理

移動裝置管理（MDM）工具可以管理的裝置包括用于辦公的個人裝置，使用者在家也能安全使用熟悉的裝置工作。 

4）更新檔管理

更新檔管理確定員工裝置始終更新到最新版本，既是為了安全，也是為了確定員工獲得更流暢的體驗。

5）條件通路政策

條件通路政策允許企業在使用者遵循安全準則的情況下放寬正常登入或可識别登入的要求。

6）目錄服務

企業可以将更多 IT 資源同步到目錄中，實作更加無縫的使用者體驗。目錄服務可以統一、精簡所有内容，并報告到同一資料源，其他功能還包括将更多工具內建到單點登入（SSO）解決方案，以及智能的自動化裝置配置設定。

零信任之是以廣受歡迎，根本原因就在于企業希望依靠簡單的 IT 安全方案讓所有使用者保持合規，最終實作總體安全目标。