零信任架构如何保护政府数据和网络

乔治亚州财政办公室首席信息官和首席信息官Bill Wyatt解释了强大的安全标准和向无密码系统的转变如何降低风险。

由布莱恩·卡尔森2020年4月14日

在过去的几年中，网络攻击的数量和复杂程度都有了显著的增长。这种攻击的增加增加了各种规模的组织的风险和成本。根据网络安全风险投资公司的网络犯罪报告到2021年，网络犯罪每年将给世界造成6万亿美元的损失。

对于网络攻击的增加，cio和ciso越来越多地采用现代安全概念来保护他们的网络，并最终保护他们的数据。零信任安全，或零信任体系结构(ZTA)，就是政府IT领导人如Bill Wyatt、乔治亚州州财务办公室的CIO和CISO正在探索的一个这样的概念。

怀亚特表示，ZTA的理念是，公司不应该信任网络外部或内部的任何东西，每个设备在访问系统之前都需要经过验证。这与传统的城堡和护城河安全策略相反，在这种策略中，信息安全的重点是保护网络的外围，同时假设内部的流量已经是安全的。

Wyatt表示:“对我来说，零信任架构首先是强大的用户身份控制和数据安全。

“我们首先关注这一层面。在那之后，我们仍然有传统的安全控制，比如防火墙和容器。分层安全仍然很重要，在整体架构设计中占有重要地位，特别是当数据和服务仍然在前提下一致时。”

怀亚特警告说，仅靠传统的安全模型已不再有效。当网络攻击者通过公司防火墙(比如Target事件)时，他们可以在不被发现的情况下缓慢而安静地在环境中移动。

怀亚特说，降低这个问题的最大风险是保护数据本身，因此无论数据传输到哪里，谁拥有数据，都可以锁定和保护数据。

为安全环境奠定正确的基础

在Wyatt能够保护他的网络和数据之前，他需要为单一的安全环境奠定基础。鉴于他整体28年技术背景,本科在MIS,硕士,网络安全,结合16年的审计、财务审计、国家计算机审计调查,和审计IT基础设施管理,以及认证CISSP,中钢协,MCSE、CCNA, CCSA, CEH, CHFI,和蔚蓝的基础,比尔有适当的专业知识，知道他需要在他的新角色中完成什么。

他说:“当我第一次来到我现在工作的地方时，有很多改进的机会，这在与州政府机构合作时并不罕见，特别是在经济困难时期，这些机构通过州政府拨款获得的资金可能有限。”“一开始，我不得不采取散弹枪的方法，并执行控制和创可贴来弥补即时的差距。从第一天开始，我就一直在工作，并建立一个坚如磐石的IT团队，以精简、简化、巩固、创新并尽可能保持领先地位。与此同时，我希望在提高服务、可用性和安全性的同时节约成本。”

在能够建立和管理跨联邦和州保护数据所需的安全框架之前，Wyatt必须迁移到基于云的基础设施，以获得执行全面的ZTA安全计划所需的灵活性、成本节约、敏捷性、安全性和服务。

他说:“虽然我在当地得到了强烈的支持，希望改用基于云计算的基础设施，但在国外却不缺少繁文缛节，尤其是在州一级。”

“我花了两到三年时间才办完大部分手续。一旦我能够量化280亿美元资产的风险，并提供关于风险的明确而简洁的信息，我们最终得到了所需的州级别的买进。向国家领导层提供清晰的风险图景，对于消除这种繁文缛节至关重要。我们不能简单地按照它的架构方式将完整的安全控制集放在适当的位置。从那时起，从一流的混合基础设施的角度来看，我们选择了Nutanix作为核心。”

Wyatt从2015年开始使用Nutanix软件，现在正在转向运行Nutanix的HPE硬件。除了从VMWare迁移出来的成本节省之外，Wyatt还将所有支持转移到Nutanix下，以便对所有问题都有一个单一的接触点。

Wyatt说:“现在我们不需要到处去找其他供应商来获得我们需要的支持。”“在Nutanix的管理程序下，他们将在一个地方处理所有的层。”

(相关的故事:混合云和it即服务，HPE和Nutanix伙伴关系背后的力量］

一旦他建立了一个基于云的基础设施，怀亚特现在可以集中精力保护他网络上的所有数据，并利用ZTA的概念实现这一目标。

强用户身份，设备验证是ZTA的核心

Wyatt解释道:“对我来说，零信任架构(Zero-Trust Architecture, ZTA)有几个主要组成部分。“首先，最重要的是用户身份。我们的目标是强化这种身份，并对它有信心。如果围绕身份管理的控制和机制不够强大，那么其他一切都将面临风险。”

除了将用户身份作为ZTA的第一层关注之外，Wyatt还希望确保连接到网络的设备经过验证，并且只允许在需要知道的基础上访问数据。

他说:“我们正在研究连接到网络的设备，以及这些设备的健康状况，以确保它们在连接之前经过验证。”

“我们需要在这些机器上船并与环境连接之前对它们进行验证。我们在我们的环境中使用条件访问和MFA(多因素身份验证)作为其中的一部分。在我们的环境中，所有的数据都是围绕“需要知道”而设计的。”

最后，这一切都是关于保护所有形式的数据。如果ZTA应用于数据/文件级别，那么保护网络前沿就变得不那么重要和令人担忧了。

怀亚特说:“虽然这些是ZTA的主要组成部分，但这一切都与数据有关。”“数据应该知道谁应该访问它。我关心的是在整个生命周期中控制这些数据的能力。”

怀亚特解释说:“如果员工跳槽了，他们就无法验证和开放那些通过u盘或其他个人云服务从环境中找到出路的受保护数据。”

他说:“我们需要一种能力，在员工离开时防止未经授权访问所有这些数据，无论他们何时或将数据放在哪里。”“信息保护与文件本身息息相关。而不是环境的结构，或者文件夹。”

对Wyatt来说，ZTA是通过集中于文件级安全来加强网络的核心策略。他支持ZTA，并希望在接下来的几个月里完全摆脱他剩下的风险降低手段之一——密码。基于硬件FIDO 2.0令牌的解决方案极大地改进了身份管理。MFA和其他控制措施已经到位，在身份管理风险降低方面做得很好。这些控制对于新出现的程序非常重要和及时，比如办公室新的远程工作程序。

“我们根本没有VPN，”他说。“我们的本地网络没有任何外部接入。没有无线接入我们的环境。我们有无线网络，但它是一个完全独立的环境。我们现在正在测试无密码，我们接近完全无密码。这是我们真正关注的，也就是消除密码使用的风险和威胁。”