随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。
零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是 “持续验证,永不信任” 。
默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
零信任作为网络安全领域的新锐,还是有很多人不了解,甚至对其存在诸多误解。接下来就来一一揭秘:
误解1:零信任只关注网络?
零信任模型最初主要关注网络分段和最小授权,但它已经发展成为一个完整的框架,可以为组织实施完整战略提供实用指导。这种演变解释了云计算,大数据,容器,微服务等技术进步。同时零信任还涵盖了以下元素和相关流程:
- 网络
- 数据
- 负载
- 设备
- 用户身份
误解2:零信任意味着从无法访问开始?
首次接触零信任肯定会有这样的困惑,使用了零信任,是不是无法正常访问?其实,零信任不会阻止访问,而是默认不受信任的参与者已存在于网络内部。零信任策略的初始步骤侧重于:
- 通过验证谁在请求来授予访问权限
- 了解请求的上下文
- 确定访问环境的风险
- 审核所有内容
- 应用自适应安全控制
误解3:零信任意味着不信任员工?
过去,企业的主要关注点是如何避免让不受信任的外部人员正常访问业务系统,并且通常将他们的信任建立在验证与用户没有真正联系的IP地址上。但在今天,这个边界是站不住脚的。
在零信任环境中,内部员工和外部人员的概念无关紧要。零信任解决方案的目的不是让系统受信任,而是要从IT系统中消除信任的概念。这并不是针对个人的行为,零信任的最终目的是防止数据泄露。
误解4:零信任的用户体验不好?
在过去,采用基于身份的安全措施主要影响是——降低了用户使用灵活度和系统访问效率。
这就是使用基于风险的身份验证和机器学习技术发挥作用的地方。基于风险的身份验证使用机器学习来定义和实施基于用户行为的访问策略。通过分析、机器学习、用户配置文件和策略实施的组合,可以实时做出访问决策,例如消除低风险访问的身份验证挑战,在风险较高时加强身份验证,或完全阻止访问。
误解5:零信任开始走下坡路了?
随着以5G、工业互联网为代表的新基建的不断推进,进一步加速了架构的“无边界”进化过程。而零信任安全将成为解决新时代网络安全问题的新理念、新架构。
在国内,从零信任政策及标准逐步落地,到互联网科技巨头厂商积极布局,市场的火热已显而易见。
部分参考资料:
Debunking Five Myths about Zero Trust - Infosecurity Magazine (infosecurity-magazine.com)
更多阅读
更多精彩内容,欢迎持续关注安胜网络~
