医疗行业的零信任安全指南

关键要点

医疗行业在采用零信任安全模型方面遇到了两个关键问题：第一个是物联网设备的快速增长，第二个是与“某些医疗工作者的流动性质”相关的身份认证复杂性。根据Health-
ISAC发布的一份，这些障碍必须在转向零信任之前得到解决，因为“实施零信任架构并不像选择一个供应商并从货架上挑选一个解决方案那么简单。”

如之前报道的那样，尽管零信任非常适合医疗行业，但大多数提供者机构在因系统复杂性和其他障碍而难以实现转型。不过，随着健康与人类服务部在互操作性方面持续取得进展，尤其是依赖API的互操作性，应成为医院适应日益复杂网络的优先事项。

Health-
ISAC指出，身份管理是零信任的“核心”，包括多因素身份验证、授权治理以及“适当的访问角色和属性的配置”。“访问规则需要尽可能细致，以实现最小权限，所有主体、资产和工作流都需要明确认证和授权。”

例如，零信任确保员工仅能访问完成所需工作职责所需的元素。该模型确保网络基于最小权限访问进行分段，提供基于针对用户的信任政策的最小访问权限。

旨在帮助医疗行业的首席信息安全官（CISO）更好地理解零信任安全及其架构的推荐方法，以构建以身份为中心的网络安全策略。

Health-
ISAC表示，该指南旨在教育CISO有关零信任及其所需基础知识，以及零信任迁移的常见挑战及如何开始转型。为所有规模和成熟度的机构编写此指南是希望这些CISO能够理解以身份为中心的网络安全的重要性。

安全领导者将找到，了解安全模型的影响以及在医疗环境中实施零信任的具体步骤。该白皮书还将零信任组件增加到Health-
ISAC于2020年发布的中。

该框架已经更新，融入了零信任概念，并“增加了额外控制措施，以实现零信任架构的核心要素”，包括安全通信的标准、资产监控、访问授权的边界、基于政策的授权，以及为目标系统和资源添加设备。

医疗IT首席信息安全官可以利用该指南评估其组织在尝试采用零信任模型时可能面临的特定挑战。Health-ISAC还请求行业利益相关者提供反馈。

“这些标准一开始可能看起来令人生畏，但从长远来看将能使组织获得更好的安全性，”Health-
ISAC总结道。“让某人进入大门，为他们分配一个有访问权限的角色，然后就任由他们随心所欲的时代已经过去。”