零信任,一个政府范围内的倡议
零信任最初是作为一种基于网络的体系结构模式引入的,它集中于身份和多因素身份验证。这种模式在业界很受欢迎,许多供应商将他们的技术产品定位为零信任解决方案。manbetx1.0下载
我一直认为,零信任是一个应该在任何可能的地方应用的原则,而不仅仅是在技术和产品上。随着它的发展,特别是在最近几年,我们已经看到在网络和身份之外的领域广泛采用零信任。如今,零信任正被公认为一项原则和最佳实践,可应用于安全的广泛方面,并因行业创新而加速。
事实上,美国联邦政府已将其作为一项强制规定;距离白宫提出“零信任”战略已经过去了一年。
在美国国家标准与技术研究所(NIST)、网络安全及基础设施安全局(中钢协),以及行政管理及预算处(管理预算办公室)的零信任政策,在OMB备忘录M-22-09,白宫于2022年1月26日发布了一项零信任战略,作为对所有美国联邦政府的授权。它要求各机构“在2024财年结束前达到特定的网络安全标准和目标,以加强政府对日益复杂和持续的威胁活动的防御。”
“各机构在部署保护措施方面走在一条清晰、共享的道路上,这些措施利用了彻底的数据分类……”
数据分类:中心主题
联邦零信任战略一经发布,就受到了业界和学术界的赞誉,认为这是朝着解决始终存在的网络安全挑战迈出的重要一步。
它围绕五大安全支柱提出了明确的愿景和具体行动:身份、设备、网络、应用程序和工作负载以及数据.
在五大支柱中,首席数据官(cdo)最值得注意的是数据分类,这是数据支柱的中心主题。该战略设想在联邦政府中:“联邦安全团队和数据团队共同开发数据类别和安全规则,以自动检测并最终阻止对敏感信息的未经授权的访问。”
这一愿景远远超出了将安全控制(如数据加密、数据访问、数据权限)构建到数据解决方案中的传统概念。manbetx1.0下载相反,它利用机构对其数据进行库存和分类的能力,根据数据的敏感性为自动化安全响应和用户访问控制奠定基础。
该战略呼吁各机构采取近期行动,开始与利益相关者合作,“实现数据分类和安全响应的初始自动化,重点是标记和管理敏感文件的访问”。
“各机构必须实现数据分类和安全响应的初始自动化,重点是标记和管理敏感文件的访问。”
与此同时,联邦政府认识到“......支持企业级数据分类的技术市场仍在成熟......”,并开始打一场持久战。他们成立了一个联合工作组,由OMB领导的联邦CDO委员会和联邦CISO委员会组成。该小组的目标是为各机构制定一份数据安全指南,说明现有的联邦信息分类方案如何在安全环境下支持有效的数据分类。
接下来会发生什么
联邦零信任战略反映了联邦政府对数据管理采取全面零信任方法的目标,因为联邦机构的cdo被要求实施这一战略,并与安全团队和其他利益相关者合作。
首先,正如备忘录所承认的那样,对许多机构来说,制定一种准确的方法来对数据进行分类和标记将是一项挑战。最初,对于一些机构来说,可能需要一些人工分类,缩小范围和试点举措,为自动化安全访问规则和响应机制铺平道路。
这只是全面的零信任数据管理方法的开始。其目标是数据分类的自动化,这无疑将推动数据管理的其他方面成为零信任生态系统的一部分。
数据企业全覆盖
自动化将实现数据企业的全覆盖。在零信任的设计阶段,这有助于确保零信任的所有用例的通用性,例如中指定的那些用例NIST零信任架构特别出版物800-207.它还将有助于零信任的实施阶段,使整个组织的全面自动化安全响应和访问控制成为可能。
有了这些能力,CDO将很好地定位为首席信息安全官(CISO)组织的合作伙伴。CISO涉众现在可以完全了解许多业务应用程序。
此外,由大量自动化数据构建的潜在报告和分析将为CISO的决策过程提供切实的投入,特别是大规模的实施计划,如数据丢失预防计划,以确保全面的企业覆盖。
生命周期安全信任验证
零信任方法用于保护用户访问,无论该方法有多么严格,都可以在身份验证和授权点建立数据所需的安全信任。它不会提供对数据本身或数据动态的洞察,因为所有数据都有一个生命周期。它们一旦创建就会被消耗。它们可能会改变、移动、共享,并且可能在不同的上下文中具有不同的含义。
由于这些动态,企业领导者已经敏锐地意识到跟踪数据的重要性,以帮助他们回答以下问题:
- 谁在使用这些数据?
- 它包含什么信息?
- 数据是什么时候创建/转换的?
- 数据从何而来?
- 这些数据为什么存在?
从业务角度来看,这些问题涉及数据所有权、驻留和质量特征(如数据一致性、完整性和可信度)。
另一方面,它们也对上次设立以来所授予的安全信托提出了问题。例如,
- 具有特权访问权限的业务专员与非特权用户共享某些数据元素
- 业务分析师向可能没有必要了解的读者发布了一份报告
- 数据库管理员将数据推送到不同的位置,超出了预期
无论是无意中做的,还是没有足够的安全控制,这些场景中的安全信任都可能被破坏。这就是为什么我们需要在整个数据生命周期中进行持续的验证。
数据解决方manbetx1.0下载案寻求解决这些业务和安全问题,例如创建血统显示跨企业的数据移动,以及持续监控数据质量通过自适应规则实现特征。虽然数据解决方案功能以业务级为中心,但与通常由安全组织领导的自动化安全响应相反,数据管理的零信任方法肯定会推动两个端点的功能结合起来,从而导致业务和安全组织在保护数据作为共同目标方面的无缝集成。
促进成熟——这是相互的
联邦零信任策略中列出的目标是使用CISA零信任成熟度模型.在这个模型中,零信任成熟度的特征是自动化水平的提高和集中的可见性。
特别是对于数据支柱,CISA设想零信任在最佳成熟状态达到顶峰,其特征包括机构不断地使用强大的标记和跟踪进行数据清查,使用机器学习模型进行增强,以及自动更新和核算所有机构数据。反映在联邦零信任战略中的是对机构数据分类的呼吁,直接推动了这种成熟度特征。
虽然数据分类是零信任数据支柱的中心主题,但它是数据管理的一个方面,是其他各种领域的基础,包括数据治理,元数据管理,数据质量,隐私和遵从性等等,这是企业所依赖的查找、组织、跟踪、集成和管理企业中的大量数据,以实现业务目标。
正如预期的那样,随着零信任的成熟,零信任的愿景将推动联邦机构的数据分类能力不断增长。分类是任何企业的数据管理功能的基础,它将对其他数据领域产生广泛而深入的影响管理。
这是非常令人兴奋的,在未来的几年里,我们将看到各机构在整体数据管理能力方面的能力增强,以实现他们的业务流程,获得对数据的有价值的见解,以更好地利用数据,满足监管要求,并为实现长期业务成果提供战略投入。
新万博移动客户端公共部门的Collibra
对于数据管理的零信任方法,数据分类是联邦机构必须具备的关键能力。联邦机构已准备好全力支持、采用和利用数据管理解决方案,而联邦政府的零信任愿景将推动技术采用和创新,超越满足传统业务需求。manbetx1.0下载
新万博移动客户端Collibra与联邦机构的首席数据官和首席信息官密切合作,帮助他们解决数据管理需求,包括数据编目、治理、质量和可观察性、隐私和保护。在这一过程中,安全发挥了重要作用。在零信任倡议下,安全将承担更重要的责任在我们共同的追求中。新万博移动客户端Collibra可以帮助联邦机构成为更有效的数据企业,为数据办公室和cdo提供对安全产生更大影响的能力。
零信任是许多人最关心的话题,包括我们Collibra。新万博移动客户端事实上,我们正在计划一个博客系列来深入探讨这个主题,所以请继续关注。
