有效的访问控制是医疗保健中实施零信任的关键 传媒

零信任在医疗行业的挑战与解决方案

关键要点

零信任Zero Trust是一种缩小防御边界，针对具体资源设计的安全模型，面对现代威胁环境尤为合适。然而，在医疗领域，广泛的资产清单和对便捷访问的需要可能会妨碍强访问控制的转变。

根据Venable的高级政策顾问Zach Martin的说法，医疗行业实现零信任，需要建立有效的设备和应用安全基础政策，并解决与现有身份和访问管理系统的整合问题。

“无论哪个市场，零信任都是一项困难的工作，” Martin表示。

Martin最近撰写了HealthISAC的白皮书，深入探讨了医疗领域零信任的细节。他强调，“这是架构及其他元素的不同之处。”

传统上，人们认为防火墙是安全的巅峰。但现代安全需要更细致的处理。“这确实很棘手，”Martin补充道。“即使是资金充足、资源充沛的组织，在实施零信任架构时仍会面临挑战。”

Martin已与HealthISAC身份委员会合作数月，作为顾问提供咨询。医疗服务提供者逐渐对零信任及其在医疗环境中的应用、可行性和一些具体挑战表示关注。该白皮书旨在解决这些关键领域。

“你不可能一夜之间实施零信任，” Martin指出。“这不是一个简单的过程。你必须采取分阶段的方式。” 这个过程应始于验证网络中运行的技术、支持身份和安全的政策，以及当前的授权和用户权限。

简而言之，提供者在与供应商或顾问洽谈之前，必须提出“许多基础性问题”，以开始实现HealthISAC白皮书中概述的关键实施要素。

在了解设备清单、应用程序、整合情况及多因素认证的角色之后，提供者才能与身份和访问管理、临床应用供应商就适合自身组织的选项展开进一步讨论。

应对多因素认证和访问控制挑战

利益相关者常常提到，由于环境复杂、接入点众多，以及担心进一步增加提供者的负担以确保患者护理，在医疗领域实施多因素认证十分困难。

“这是一件复杂的事情，因为你不想让医疗人员在获取患者护理时需要走额外的流程，” Martin解释道。

然而，除了传统的插入式技术、一次性密码OTP或生物识别外，还有其他方法可以采用强认证。他提到，诸如IP地址的地理位置或设备信息等其他环境特征也可以实现类似的认证控制。

政策在此发挥作用：照顾这一患者的人实际上是在医院吗？他们是否通过位于患者附近的WiFi传感器访问服务？

借助风险引擎和其他环境特征来确定用户资料并进行认证，管理者可以在用户尝试从其他国家的IP地址访问患者健康记录或在他们通常下班的时间内阻止访问。

没有适当的政策，这些红旗可能会被忽视。

“在无法部署传统多因素认证的情况下，还有很多其他东西可以使用，” Martin指出。然而，可以实现“对最终用户无缝的多因素认证”，不需要用户取出手机、按按钮或摘掉手套进行生物识别认证。

提供者组织需要具备政策来支持他们最终打算部署的技术，例如多因素认证或最小权限原则。这些要素需要在纸面上明确，这也是希望开始零信任之旅的提供者在实施技术之前的必要条件。

现代身份和访问管理系统可以支持授权和最小权限。正如Martin所说：“这只是实现技术和落实要素的问题。”

医疗行业有各种不同的应用，因此安全领导者的任务是确保实施的工具“能够与集中管理系统整合”，以便监测和利用细粒度授权，并能够在出现可疑活动时进行阻断。

零信任：并非每个市场皆可行

“零信任未必适用于每一个市场或每一个组织，但值得