在 COVID-19 大流行爆發(fā)之前，美國國防部 （DoD） 已經(jīng)朝著完全無邊界的安全環(huán)境邁進。現(xiàn)在，該機構已經(jīng)完全進入了一個幾乎完全開放的環(huán)境，過去存在的物理限制已基本消除，因此對其勞動力、工具、供應鏈和運營的新型威脅比比皆是。

　　美國國防部的回應是采用零信任網(wǎng)絡安全架構，但這種做法存在其自身的問題。不斷重申用戶和系統(tǒng)身份并強制執(zhí)行授權的需求會產(chǎn)生巨大的沖突——定義為由于安全要求而阻止或延遲主要任務的任何情況——這會鼓勵使用繞過或過度訪問，這兩者都無助于一次成功的防御行動。

　　但是通過自動化和虛擬化的基礎設施和用戶行為分析，美國國防部可以保持強烈的零信任立場，同時顯著減少問題和用戶挫折。

　　自動聲明式訪問

　　零信任需要更多的系統(tǒng)檢查：用戶的訪問需求不斷變化，身份驗證和授權程序需要不斷更新。使用手動干預來跟上這些檢查和更改可能效率低下并引入新的風險。

　　最好使用聲明式訪問控制而不是命令式控制。使用聲明式訪問模型，系統(tǒng)被設置為基于底層交互的意圖和需要提供訪問。通常，根據(jù)用戶需求對匹配數(shù)據(jù)的規(guī)則進行編碼，本質上側重于數(shù)據(jù)保護屬性：例如類型、來源和傳播。相反，命令式模型依賴于參與者及其行為的關系。隨著參與者的變化或系統(tǒng)的發(fā)展和相互集成，聲明式訪問控制更加一致和可預測——就像美國國防部向云和邊緣計算沖刺一樣。

　　美國國防部已經(jīng)朝這個方向發(fā)展，但大流行加速了對基于屬性的訪問控制 （ABAC） 和基于角色的動態(tài)訪問控制 （RBAC） 的需求。ABAC 會考慮特定的用戶屬性，并在決定是否允許訪問時考慮這些屬性。動態(tài) RBAC 支持基于傳統(tǒng)屬性（如用戶角色或職位）的訪問，但也將訪問限制為僅訪問特定任務所需的功能。動態(tài) RBAC 還可能會考慮不同的經(jīng)驗和認證級別等微妙之處。

　　這兩種做法都需要一個底層的自動化層，可以立即將聲明性請求轉換為命令式授權、授權限制或完全阻止請求。以無縫方式自動安全地授權訪問可以使用戶能夠實時獲取他們需要的信息或使用新系統(tǒng)，而不會影響安全性。

　　虛擬化安全環(huán)境

　　即使用戶可以訪問信息，他們使用的系統(tǒng)仍有可能不像以前那樣安全。盡管云越來越流行，但在大流行之前，美國國防部仍然通過物理方式處理大部分安全問題。人們使用國防部發(fā)放的筆記本電腦，通常是在國防部網(wǎng)絡和系統(tǒng)上。這些系統(tǒng)使安全管理員更容易判斷用戶的機器是否有適當?shù)牟《痉雷o，并就安全性做出合理的斷言。

　　當所有人都遠離的時候，很多物質上的保證頓時消失了。雖然軍事人員仍在使用高度安全的設備，但美國國防部的許多工作人員更多地依賴可能并不完全安全的個人筆記本電腦和智能手機。

　　虛擬化安全可以幫助團隊克服這一挑戰(zhàn)。虛擬系統(tǒng)可以通過在用戶和他們正在訪問的系統(tǒng)之間提供一個抽象層來幫助管理員重新獲得他們機構的安全態(tài)勢。管理員可以在他們的虛擬基礎架構中插入保護措施——例如過濾、協(xié)議中斷和自動備份和恢復，以保護系統(tǒng)免受他們可能會暴露的任何惡意軟件的侵害。如果這些保護措施失敗，虛擬環(huán)境可以將其潛在的網(wǎng)絡安全爆炸半徑降至最低。

　　用戶行為分析中的分層

　　完成無零信任圖：監(jiān)控用戶行為?？梢愿鶕?jù)用戶的行為模式對其進行監(jiān)控；與正常模式的任何偏差都可能表示異常行為，表明用戶可能已受到威脅。

　　例如，用戶可以稍后在 DC Moments 中從其家庭辦公室訪問網(wǎng)絡，他們的憑據(jù)可用于從該國家/地區(qū)以外的 IP 地址獲取對不同數(shù)據(jù)集的訪問權限。在檢測到這種異常活動時，系統(tǒng)可以自動降低與用戶關聯(lián)的信任級別，并且僅降低該用戶的信任級別。此操作可以保護網(wǎng)絡，而無需將其他用戶關閉在系統(tǒng)之外，這使他們能夠繼續(xù)工作而不會遇到任何不當中斷。

　　零信任網(wǎng)絡安全不一定是痛苦或破壞性的體驗。通過采用自動化、虛擬化和行為分析，管理員可以在執(zhí)行任務時保護他們的網(wǎng)絡并支持他們的同事。