零信任环境下的端点安全该如何定义？

目前，企业的零信任安全建设已从理论和技术探索阶段，正式迈入了零信任的应用实践和快速发展阶段。而根据NIST的定义：零信任安全是一种覆盖端到端安全性的网络安全体系，包含身份、访问、操作、终端、与基础设施环境。其中，端点安全将是企业零信任体系建设的重要部分。

由于端点设备承载着企业组织大量业务数据的产生、使用和流转，随着其应用的多样化和复杂化，特别是云上端点应用的大量增加，导致了企业端点安全威胁态势不断恶化，企业安全运营团队面临着比预期中更大的安全挑战。

2023年，企业在零信任安全建设中，只有进一步提升端点安全的防护能力，才能确保整体建设目标的实现。在此背景下，传统端点安全技术由于面临全面性、兼容性、智能化等应用挑战，正在被新的防护需求与理念重新定义。企业应该根据零信任框架要求和最小化访问授权原则，推动新一代端点安全的能力建设与应用优化。

01确定身份优先的安全原则

据CrowdStrike发布的《2023年全球威胁报告》指出：身份是组织最宝贵的资产之一，含有丰富的个人数据。目前，基于身份的端点安全攻击激增。而确保身份安全是构建稳健零信任安全框架的核心。要在零信任环境下定义端点安全，首先要认识到端点安全和身份管理系统融合的价值和必要性。每家企业的端点设备上都会有很多个数字身份，包括从端点访问的应用程序、API接口、平台和使用者，以及设备本身的数字身份。

新一代端点安全方案，需要以实现身份安全作为优先原则，在完善数据采集、提升数据质量、增强数据分析能力以及在保护身份方面进行更快速的创新。

02实现持续的监控和验证

实现端点设备的持续监控和验证对于获得可靠可扩展的零信任框架至关重要，从端点设备上获取的监控数据，对于识别潜在的入侵和破坏活动非常宝贵。企业组织需要能够实时监控、验证和跟踪每个端点的安全运行状态，发现可能的安全威胁。在目前最新的端点安全方案中，都能够实现较完善的监控管理服务，比例思科的SecureX和身份服务引擎（ISE），微软公司的Azure Active Directory和Defender，CrowdStrike公司的Falcon平台、Okta公司的Identity Cloud，以及Palo Alto 的Prisma Access解决方案。

03自动化的漏洞管理与端点弹性

攻击者会扫描企业拥有的每个端点设备，以发现其中没有受到保护或配置错误的薄弱端口。而研究人员发现，过度配置的端点与没有实施任何安全措施的端点一样易受攻击。因此，需要为端点设备提供更大的弹性，来帮助缓解端点安全漏洞管理复杂和混乱的现状现象。

根据零信任的理念定义，端点设备应该能够根据安全态势变化自行关闭，并验证其核心组件的安全性，当发现存在安全漏洞时，端点将能够自动执行补丁版本控制，并在没有人干预的情况下重置为经过优化的配置。在零信任的环境下，端点设备自动化的漏洞管理与修复能力对于安全团队是不可或缺的，因为他们现在正面临着时间紧张的问题。考虑到做好漏洞管理的重要性，采用数据驱动的自动化方法将会给企业带来帮助。

04端点隔离与攻击面管理

以目标为导向是零信任方面变得更强大的关键，其假设入侵和闯入活动在任何情况下都会存在。而端点安全是企业零信任安全建设的第一道防线，攻击者只要突破了一个端点，就有机会控制企业整个的信息化基础设施及宝贵数据资产。

因此，在新一代端点安全建设中，需要通过应用微隔离策略，端点设备的隔离和攻击面管理。正如NIST的零信任框架所定义，微隔离是零信任的关键组成部分，其将网络划分为最小化的孤立网段，减小端点系统的攻击面，并提高数据和业务资源的安全性。通过微隔离技术，企业还可以迅速识别和隔离网络上的可疑活动。在一些较先进的微隔离技术方案中，可以将端点上的每个数字身份都视为单独的实体，并根据上下文信息执行访问的细粒度策略控制，有效地防止了任何危险的横向移动。

05向一体化安全能力演进

研究数据显示，2023年的端点安全威胁正变得比CISO们预期的更具挑战性，与此同时，很多企业还面临安全预算缩减和提升投资回报率的要求。在此背景下，实现各种端点安全能力的融合才是真正保障客户利益的最大化。在Gartner发布的《2022年端点安全技术成熟度曲线报告》中，也再次指出：传统的单点式端点安全建设面临巨大挑战，需要向多种功能融合的UES方向迈进，单独的EDR、DLP、微隔离、EPP等安全防护功能最终会融入到一体化解决方案中，其本质原因还在于端点安全需要立体化、纵深化、智能化防御，任何一方面的短板都会组织造成巨大的损失。