零信任架构简介

由于美国国家安全局 (NSA) 最近发布的网络基础设施安全指南报告，清除常见的网络弱点和漏洞已成为许多业务决策者的首要任务。

毕竟，数据泄露的平均财务损失已达到令人瞠目结舌的424 万美元——这是 17 年来的最高水平。今天的组织必须优先考虑数据安全和零信任架构 (ZTA) 的好处，但在我们进一步讨论之前，让我们仔细看看 ZTA 是什么以及这个概念的来源。

什么是零信任？

零信任也称为无边界安全，是一种基于 IT 系统设计和实施原则框架的安全模型，旨在应对日益分散的环境中的网络威胁。用户必须经过身份验证、授权和持续验证，然后才能被授予访问系统和数据的权限。简而言之，零信任天生就不信任任何人。

黑客的切入点通常不是他们在网络中的目标位置。相反，他们会识别一个区域的漏洞并横向移动直到达到目标。 ZTA 通过强制用户在多个点上识别自己的身份来防止这种情况发生——从本质上限制了不良行为者可能造成的损害。

零信任并不是一个新概念。它由 Forrester Research 的前首席分析师John Kindervag于 2009 年首次提出。然而，它的受欢迎程度在过去两年中呈爆炸式增长。事实上， 微软 2021 年的一份报告发现，90% 的安全决策者熟悉这个概念，而一年前这一比例仅为 20%。毫无疑问，远程工作的增长和云采用率的增加推动了这一趋势。更不用说网络攻击的数量激增了——根据白宫最近关于俄罗斯对美国企业的网络攻击的警告，这种攻击看起来会进一步增加。

“好的，但是如何在实践中实现零信任？”

实施 ZTA 没有万能的模型。但是，组织通常应考虑以下方面：

• 身份治理：确保您通过强大的策略和访问权限来管理和保护所有用户身份。基于角色的访问控制可以帮助您实施这些策略，方法是利用用户角色授予对他们完成工作所需的系统和应用程序的访问权限，仅此而已。
• 特权访问管理：特权帐户是具有最高访问权限的帐户，考虑到可能暴露的敏感信息的程度，它们比普通用户构成更大的安全风险。坚持最小权限原则，通过系统级别的精细策略控制为第三方或管理员提供足够的访问权限以完成任务。
• 多因素身份验证 (MFA)：最常见的初始攻击向量之一是用户凭据泄露，这是 MFA 旨在防止的。在授予对系统或应用程序的访问权限之前，这一安全层需要两种身份验证方法：您知道的东西（密码或 PIN）、您拥有的东西（智能手机或令牌）以及您的身份（生物特征数据）。
• 单点登录（SSO）：安全性只与使用它的人一样好，当用户注意到安全性时，往往会忽略它。事实上， 57% 的人承认在便利贴上写下密码，而许多其他用户与同事共享凭据。 SSO 使组织无需记住和重复输入用户名和密码即可访问系统，从而实现更强大的安全性。
• 零信任策略引擎：正如美国国家标准与技术研究院 (NIST) 文件所描述的，这是 ZTA 的“大脑”。每次数字身份（无论是人还是机器）尝试访问企业资源时，都会询问 ZTA 策略引擎是否应该访问它。当然，您可以为策略引擎设置参数。实际上，如果您的数字身份管理严格，您还可以使用 ZTA 策略引擎来删除一些用户名或密码要求，以及 MFA 要求。从本质上讲，您可以在提供更轻松访问的同时提高安全性 - 不是吗，这听起来很熟悉吗？

身份和访问管理——是时候整理你的房子了

有效管理和保护数字身份可以说是 ZTA 最重要的组成部分。简而言之，如果没有适当的身份和访问管理 (IAM) 策略，您可能会忘记零信任。或者，至少忘记它带来的任何好处。

组织在实施其 IAM 战略时可以使用大量工具，但具备上述解决方案只是其中的一部分。由于大多数组织仍然拥有一系列遗留系统，通常会看到一个用于配置和取消配置的工具，另一个用于 MFA，第三个用于 SSO，等等。没有打算这样做，采用这种分散方法的组织通常会引入他们试图避免的风险。

相反，有远见的组织应该寻求通过统一战略来整合这些工具，以消除差距并实现单点控制。

总而言之，很难夸大当前组织面临的与网络安全相关的挑战的绝对数量。诚然，对于许多人来说，这是一个在短期内弄清楚如何保护系统、数据和用户的案例。但是，一旦他们完成了救火工作，实施 ZTA（基于有效的身份和访问管理策略）就变得轻而易举。