在 COVID-19 大流行爆發(fā)之前，美國(guó)國(guó)防部 （DoD） 已經(jīng)朝著完全無(wú)邊界的安全環(huán)境邁進(jìn)?，F(xiàn)在，該機(jī)構(gòu)已經(jīng)完全進(jìn)入了一個(gè)幾乎完全開(kāi)放的環(huán)境，過(guò)去存在的物理限制已基本消除，因此對(duì)其勞動(dòng)力、工具、供應(yīng)鏈和運(yùn)營(yíng)的新型威脅比比皆是。

　　美國(guó)國(guó)防部的回應(yīng)是采用零信任網(wǎng)絡(luò)安全架構(gòu)，但這種做法存在其自身的問(wèn)題。不斷重申用戶(hù)和系統(tǒng)身份并強(qiáng)制執(zhí)行授權(quán)的需求會(huì)產(chǎn)生巨大的沖突——定義為由于安全要求而阻止或延遲主要任務(wù)的任何情況——這會(huì)鼓勵(lì)使用繞過(guò)或過(guò)度訪(fǎng)問(wèn)，這兩者都無(wú)助于一次成功的防御行動(dòng)。

　　但是通過(guò)自動(dòng)化和虛擬化的基礎(chǔ)設(shè)施和用戶(hù)行為分析，美國(guó)國(guó)防部可以保持強(qiáng)烈的零信任立場(chǎng)，同時(shí)顯著減少問(wèn)題和用戶(hù)挫折。

　　自動(dòng)聲明式訪(fǎng)問(wèn)

　　零信任需要更多的系統(tǒng)檢查：用戶(hù)的訪(fǎng)問(wèn)需求不斷變化，身份驗(yàn)證和授權(quán)程序需要不斷更新。使用手動(dòng)干預(yù)來(lái)跟上這些檢查和更改可能效率低下并引入新的風(fēng)險(xiǎn)。

　　最好使用聲明式訪(fǎng)問(wèn)控制而不是命令式控制。使用聲明式訪(fǎng)問(wèn)模型，系統(tǒng)被設(shè)置為基于底層交互的意圖和需要提供訪(fǎng)問(wèn)。通常，根據(jù)用戶(hù)需求對(duì)匹配數(shù)據(jù)的規(guī)則進(jìn)行編碼，本質(zhì)上側(cè)重于數(shù)據(jù)保護(hù)屬性：例如類(lèi)型、來(lái)源和傳播。相反，命令式模型依賴(lài)于參與者及其行為的關(guān)系。隨著參與者的變化或系統(tǒng)的發(fā)展和相互集成，聲明式訪(fǎng)問(wèn)控制更加一致和可預(yù)測(cè)——就像美國(guó)國(guó)防部向云和邊緣計(jì)算沖刺一樣。

　　美國(guó)國(guó)防部已經(jīng)朝這個(gè)方向發(fā)展，但大流行加速了對(duì)基于屬性的訪(fǎng)問(wèn)控制 （ABAC） 和基于角色的動(dòng)態(tài)訪(fǎng)問(wèn)控制 （RBAC） 的需求。ABAC 會(huì)考慮特定的用戶(hù)屬性，并在決定是否允許訪(fǎng)問(wèn)時(shí)考慮這些屬性。動(dòng)態(tài) RBAC 支持基于傳統(tǒng)屬性（如用戶(hù)角色或職位）的訪(fǎng)問(wèn)，但也將訪(fǎng)問(wèn)限制為僅訪(fǎng)問(wèn)特定任務(wù)所需的功能。動(dòng)態(tài) RBAC 還可能會(huì)考慮不同的經(jīng)驗(yàn)和認(rèn)證級(jí)別等微妙之處。

　　這兩種做法都需要一個(gè)底層的自動(dòng)化層，可以立即將聲明性請(qǐng)求轉(zhuǎn)換為命令式授權(quán)、授權(quán)限制或完全阻止請(qǐng)求。以無(wú)縫方式自動(dòng)安全地授權(quán)訪(fǎng)問(wèn)可以使用戶(hù)能夠?qū)崟r(shí)獲取他們需要的信息或使用新系統(tǒng)，而不會(huì)影響安全性。

　　虛擬化安全環(huán)境

　　即使用戶(hù)可以訪(fǎng)問(wèn)信息，他們使用的系統(tǒng)仍有可能不像以前那樣安全。盡管云越來(lái)越流行，但在大流行之前，美國(guó)國(guó)防部仍然通過(guò)物理方式處理大部分安全問(wèn)題。人們使用國(guó)防部發(fā)放的筆記本電腦，通常是在國(guó)防部網(wǎng)絡(luò)和系統(tǒng)上。這些系統(tǒng)使安全管理員更容易判斷用戶(hù)的機(jī)器是否有適當(dāng)?shù)牟《痉雷o(hù)，并就安全性做出合理的斷言。

　　當(dāng)所有人都遠(yuǎn)離的時(shí)候，很多物質(zhì)上的保證頓時(shí)消失了。雖然軍事人員仍在使用高度安全的設(shè)備，但美國(guó)國(guó)防部的許多工作人員更多地依賴(lài)可能并不完全安全的個(gè)人筆記本電腦和智能手機(jī)。

　　虛擬化安全可以幫助團(tuán)隊(duì)克服這一挑戰(zhàn)。虛擬系統(tǒng)可以通過(guò)在用戶(hù)和他們正在訪(fǎng)問(wèn)的系統(tǒng)之間提供一個(gè)抽象層來(lái)幫助管理員重新獲得他們機(jī)構(gòu)的安全態(tài)勢(shì)。管理員可以在他們的虛擬基礎(chǔ)架構(gòu)中插入保護(hù)措施——例如過(guò)濾、協(xié)議中斷和自動(dòng)備份和恢復(fù)，以保護(hù)系統(tǒng)免受他們可能會(huì)暴露的任何惡意軟件的侵害。如果這些保護(hù)措施失敗，虛擬環(huán)境可以將其潛在的網(wǎng)絡(luò)安全爆炸半徑降至最低。

　　用戶(hù)行為分析中的分層

　　完成無(wú)零信任圖：監(jiān)控用戶(hù)行為?？梢愿鶕?jù)用戶(hù)的行為模式對(duì)其進(jìn)行監(jiān)控；與正常模式的任何偏差都可能表示異常行為，表明用戶(hù)可能已受到威脅。

　　例如，用戶(hù)可以稍后在 DC Moments 中從其家庭辦公室訪(fǎng)問(wèn)網(wǎng)絡(luò)，他們的憑據(jù)可用于從該國(guó)家/地區(qū)以外的 IP 地址獲取對(duì)不同數(shù)據(jù)集的訪(fǎng)問(wèn)權(quán)限。在檢測(cè)到這種異?；顒?dòng)時(shí)，系統(tǒng)可以自動(dòng)降低與用戶(hù)關(guān)聯(lián)的信任級(jí)別，并且僅降低該用戶(hù)的信任級(jí)別。此操作可以保護(hù)網(wǎng)絡(luò)，而無(wú)需將其他用戶(hù)關(guān)閉在系統(tǒng)之外，這使他們能夠繼續(xù)工作而不會(huì)遇到任何不當(dāng)中斷。

　　零信任網(wǎng)絡(luò)安全不一定是痛苦或破壞性的體驗(yàn)。通過(guò)采用自動(dòng)化、虛擬化和行為分析，管理員可以在執(zhí)行任務(wù)時(shí)保護(hù)他們的網(wǎng)絡(luò)并支持他們的同事。