Zero Trust 路线图

推进 Zero Trust 采用的五个简单项目

Zero Trust 的采用很复杂，但很容易上手

采用 Zero Trust 安全被广泛认为是一个艰难的过程。从很多方面来说，这种评价是名副其实的。Zero Trust 需要进行一些令安全和 IT 部门谨慎对待的工作：重新思考默认允许策略和基于边界的网络架构，促进不同职能部门团队之间的合作，并对新的安全服务寄予信心。各组织可能会因为各种原因而推迟这一转型，例如：

• 竞争项目的容量限制

• Zero Trust 供应商产品的差异

• 不确定各种应用程序和资源在网络上的存在位置

• 影响员工生产力

整体而言，Zero Trust 框架相当复杂——完整的 Zero Trust 架构路线图包含 28 个全面的项目。然而，有些项目需要相对而言极少的努力，即使是时间有限的小团队也是如此。

零散采用 Zero Trust

在网络连接领域，Zero Trust 安全要求对进入、离开或在公司网络内的每个请求都进行检查、身份验证、加密和记录。它基于这样一个理念：无论请求来自何处或去往何处，都不应该被隐式信任。

Zero Trust 转型取得初步进展是指在目前尚不具备这些能力的领域构建这些能力。对于从零开始的组织，这往往意味着将这些能力扩展到单一“网络边界”之外。

以下是五个最简单的 Zero Trust 采用项目：专注于保护用户、应用、网络和互联网流量。它们单独无法实现全面的 Zero Trust，但确实能带来直接的好处，并为更广泛的转型创造早期推动力。

项目 1

对关键应用程序启用多因素身份验证

在 Zero Trust 策略中，网络必须高度确信请求来自受信任的实体。组织需要建立防护措施，防止用户凭据通过网络钓鱼或数据泄露被盗。多因素身份验证 (MFA) 是防止用户凭据被盗的最佳保护措施。虽然全面实施 MFA 可能需要大量时间，但专注于最关键的应用是一个更简单但仍然有影响力的胜利。

已有身份提供商的组织可以直接在该提供商内设置 MFA，例如，发送一次性代码或通过应用推送通知到员工的移动设备。对于未与身份提供商(IdP)直接集成的应用，可以考虑在应用前使用反向代理来实施 MFA。

没有身份提供商的组织可以采用不同的方法来实施多因素认证(MFA)。使用 Google、LinkedIn 和 Facebook 等社交平台或一次性密码 (OTP) 能帮助对用户身份进行双重验证。这些是为第三方承包商 DIY 访问权限的常用方法，无需将其添加到企业身份提供商中，而此类策略也可以在公司内部应用。

项目 2

为关键应用程序实施 Zero Trust 策略

实施 Zero Trust 不仅仅意味着简单地验证用户身份。还必须制定策略保护应用程序——始终验证请求、在进行身份验证前考虑各种行为和上下文因素，并持续监测活动的策略。和项目 1 中一样，如果只应用于首批最关键的应用程序，实施起来会更加简单。

安全提升过程因应用程序类型而异：

• 私有自托管应用（仅在企业网络上可寻址）

• 公共自托管应用（在互联网上可寻址）

• SaaS 应用程序

项目 3

监控电子邮件应用并过滤网络钓鱼企图

电子邮件是大多数组织的首选通讯方式，使用最广泛的 SaaS 应用，也是攻击者最常用的入口点。组织应该对电子邮件应用 Zero Trust 原则，作为其标准威胁过滤器和检查的补充。

此外，安全部门应考虑使用隔离浏览器来隔离可疑程度不足以完全阻止的链接。

项目 4

为应用交付关闭所有对互联网开放的入站端口

开放的入站网络端口是常见的攻击手段，应实施 Zero Trust 保护，只接受来自已知、可信、经验证的来源的流量。

这些端口可以使用扫描技术找到。然后，Zero Trust 反向代理可以在不开放任何入站端口的情况下安全地将 Web 应用暴露给互联网。应用唯一公开可见的记录是其 DNS 记录，后者可以使用 Zero Trust 身份验证和日志记录功能来提供保护。

为进一步增强安全性，内部/私有 DNS 可使用一种 Zero Trust 网络访问解决方案。

项目 5

阻止对已知威胁或有风险目的地的 DNS 请求。

DNS 过滤是一种防止用户访问已知或高度怀疑为恶意的网站和其他互联网资源的做法。它并不总是纳入在 Zero Trust 对话中，因为它不涉及流量检查或日志记录。不过，它能够最终控制用户（或用户组）可以传输和上传数据的位置——这与更广泛的 Zero Trust 理念非常契合。

DNS 过滤可通过路由器配置或直接在用户机器上应用。

全面了解 Zero Trust

实施这五个项目可成为一个相对简单直接地采用 Zero Trust 的的方式。任何完成这些项目的组织都将在实现更现代化、更好的安全性方面取得重大进展。

更大范围的 Zero Trust 采用仍然很复杂。为了提供帮助，我们已经为整个 Zero Trust 旅程构建了一个不偏袒任何供应商的路线图，涵盖这五个项目和其他类似项目。有些项目需要的时间远不止几天，但该路线图有助于更清晰地了解采用 Zero Trust 的含义。

所有这些服务都内置于 Cloudflare 全球连通云：一个统一的云原生服务平台，旨在帮助组织重新掌控其 IT 环境。Cloudflare 是领先的全球连通云公司。它赋能组织使其员工、应用和网络在任何地方都更快、更安全，同时降低复杂性和成本。在全球最大、互连程度最高的网络之一支持下，Cloudflare 每天为客户拦截数十亿次在线威胁。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

关键要点

阅读本文后，您将能够了解：

• Zero Trust 路线图中的28 个项目

• 要求较少努力的五个 Zero Trust 采用项目

• 支持实施的服务类型

• 如何为组织发起采用路线图

相关资源

• 指南：通往 Zero Trust 架构的路线图

• 什么是最低权限原则？

• 零信任网络访问的兴起

• 将零信任扩展到互联网浏览器