设备可以是机构所有的资产 , 也可以是员工、合作伙伴或访客的自带设备(BYOD)资产 。机构应确保所有自有设备的安全性 , 管理非机构控制的授权设备的风险 , 以阻止未授权设备访问资源 。设备管理包括维护所有资产(包括其硬件、软件、固件等)的动态清单、配置信息及相关漏洞 。
许多设备存在特定的ZTA挑战 , 必须根据具体情况进行评估 , 作为基于风险的流程的一部分 。例如 , 网络设备、打印机等设备可能只提供有限的身份验证、可见性和安全性选项 。采取BYOD政策的机构可能会有更少的选项来保持这些设备的可见性和控制 。随着技术环境的不断变化 , 机构也将继续采用更多的设备来管理这些不断演变的设备相关风险 。在某些情况下 , 本指南可能无法适用于各机构的特定设备 。各机构也将面临确保可信设备及其服务未达到使用寿命并仍在其生命周期支持范围内的挑战 , 因为遗留设备通常会存在更多未解决的漏洞、易受攻击的配置和未知的风险 。
然而 , 尽管存在这些挑战 , 各机构仍然应该能够在实现ZTA方面取得重大进展 。本地计算资产管理涉及记录和管理物理资产(设备) 。随着各机构逐渐迁移至云 , 这为管理和跟踪机构的云和虚拟资产创造了新的机会 。云资产包括计算资源(如虚拟机、服务器或容器)、存储资源(如块存储或文件存储)、平台资产(如数据库、Web服务器、消息总线/队列)和网络资源(如虚拟网络、VPN、网关、DNS服务等) , 以及其他与托管云服务相关的虚拟资源(如人工智能模型) 。
下表列出了零信任架构中“设备”的相关功能和能力 , 及其在可见性与分析、自动化与编排 , 以及治理方面的考虑 。
传统阶段
初始阶段
高级阶段
最佳阶段
策略实施和合规监控(新增)
在策略实施或管理软件、配置及漏洞方面 , 只有少量的方法 , 缺乏与设备合规相关的可见性 。
能接收自报告的设备特征(例如 , 设备上的密钥、令牌、用户等) , 但其执行机制非常有限 。机构已经初步建立了软件准入的基本流程 , 并能将更新和配置推送到设备上 。
能够在初始使用设备时 , 对设备进行合规认证(即管理员可以检查和验证设备上的数据) , 并对大多数设备和虚拟资产实施合规策略 。使用自动化方法来管理设备和虚拟资产、审批软件、识别漏洞和安装补丁 。
在设备和虚拟资产的整个生命周期中 , 持续检查并执行合规策略 。将设备、软件、配置和漏洞管理整合到所有机构环境中 , 包括虚拟资产 。
资产和供应链风险管理(新增)
未以全企业或跨供应商的方式 , 跟踪物理或虚拟资产 , 而是采用临时性的方式对设备和服务供应链进行管理 , 对企业风险的认识非常有限 。
跟踪所有物理和部分虚拟资产 , 并按照联邦建议 , 使用风险框架(例如NIST SCRM)建立策略和控制基线 , 来管理供应链风险 。
通过自动化流程来开发全面的企业物理、虚拟资产视图 , 可跨多个供应商验证资产获取、跟踪开发周期 , 并提供第三方评估 。
拥有全面、实时或接近实时的、跨供应商和服务提供商的资产视图 , 在适当情况下 , 自动化其供应链风险管理 , 建立能容忍供应链故障的操作 , 并融入最佳实践 。
资源访问(原数据访问)
在访问资源时 , 未要求对设备或虚拟资产的可见性 。
要求某些设备或虚拟资产报告其特征 , 然后利用这些信息授权资源访问 。
在初始资源访问时考虑设备的验证情况或虚拟资产的可见性 。
资源访问时考虑设备和虚拟资产内的实时风险分析 。
设备威胁保护(新增)
对部分设备手动部署了威胁保护功能 。
具有一些自动化流程 , 用于将威胁保护能力部署和更新到设备和虚拟资产中 , 并集成了少量的策略执行和合规监控 。
推荐阅读
- 出道35年零绯闻,56岁不恋爱不结婚不生子,无父无母孑然一身
- 《暮色心约》 空降遇冷,baby扛不住收视率,任嘉伦零宣传
- 新手零基础跑步,应该跑多久?跑多快?
- 零度等于多少华氏温度
- 北京汽车零部件展会地址 北京汽车零部件展
- 详解公积金提取操作,让您零压力领取
- “刘能”儿子大婚,包1元红包被骂寒酸,赵家班稀零到场太现实!
- 家庭主妇如何理财才能赚到零花钱
- 无尽的拉格朗日新手攻略,无尽的拉格朗日新手如何零氪
- 胡兵白金卡搭机“50万积分突归零”!拍片控诉…航空公司回应了