伴隨數(shù)字化轉(zhuǎn)型與互聯(lián)網(wǎng)的發(fā)展,數(shù)據(jù)的流存節(jié)點(diǎn)和區(qū)域變得繁雜,,網(wǎng)絡(luò)邊界加速模糊,,網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性持續(xù)加劇,數(shù)據(jù)安全風(fēng)險(xiǎn)不斷攀升,。迫切需要改變?cè)蟹烙砟詈图軜?gòu),,搭建更可靠、更高效,、更便捷的安全體系,,零信任安全架構(gòu)應(yīng)運(yùn)而生,。
2010年,,“零信任模型”首次被提出,,零信任網(wǎng)絡(luò)模型打破了舊式邊界防護(hù)思維,通過多因素身份認(rèn)證,、身份與訪問管理,、加密、安全評(píng)級(jí)等技術(shù)手段,,微隔離,、細(xì)粒度訪問控制規(guī)則,以及終端安全狀態(tài)評(píng)估等其他數(shù)據(jù)條件,,實(shí)施其“無法證明可被信任即無法獲得權(quán)限”的安全理念,。
它重新定義了組織的 IT 安全邊界,零信任架構(gòu)的首要原則是什么都不信任,,什么都驗(yàn)證,。組織的所有組成部分:用戶、設(shè)備,、應(yīng)用程序,、數(shù)據(jù)和軟件,無論是在本地還是在云端,,都必須得到驗(yàn)證,、跟蹤和保護(hù)。通過反復(fù)的驗(yàn)證,,組織可以極大的減輕惡意行為者用來竊取數(shù)據(jù),、泄露密碼或執(zhí)行可能在企業(yè)環(huán)境中帶來災(zāi)難性影響的其他任務(wù)的攻擊媒介。
因此,,轉(zhuǎn)向零信任架構(gòu)越來越受到各類企業(yè)和政府組織機(jī)構(gòu)的歡迎,,美國政府官方還發(fā)布了采用零信任以改善國家網(wǎng)絡(luò)安全的行政命令。但事實(shí)上,,組織通往零信任的道路仍然存在一些不可避免的挑戰(zhàn),。
實(shí)施零信任架構(gòu)在當(dāng)前安全環(huán)境中面臨多項(xiàng)挑戰(zhàn)
在過去幾年中,疫情的蔓延讓混合辦公和遠(yuǎn)程辦公的模式深入人心,,但這種遠(yuǎn)程工作文化也成為了實(shí)施零信任安全模型的重大障礙,。遠(yuǎn)程訪問的員工越多,傳統(tǒng)基于邊界的安全防護(hù)方式就越發(fā)不安全,。此外,,隨著遠(yuǎn)程工作文化越來越普遍,越來越多的員工使用未知設(shè)備,、應(yīng)用程序,、公共 Wi-Fi,、路由器和 VPN 服務(wù),陌生來源的訪問量遠(yuǎn)超以往的任何時(shí)候,。并且,,使用許多在可以訪問敏感業(yè)務(wù)數(shù)據(jù)的設(shè)備上運(yùn)行的不受信任的應(yīng)用程序同樣是一個(gè)重大的安全風(fēng)險(xiǎn)。
此外,,新興技術(shù)與傳統(tǒng)技術(shù)之間的拉鋸戰(zhàn)對(duì)組織采用零信任架構(gòu)的計(jì)劃也構(gòu)成了另一個(gè)重大障礙,。許多陳舊的設(shè)備和系統(tǒng)無法通過管理動(dòng)態(tài)規(guī)則來實(shí)現(xiàn)零信任安全模型,。此外,,一些傳統(tǒng)設(shè)備也不能很好地與在驗(yàn)證授權(quán)訪問時(shí)限制未授權(quán)訪問所需的現(xiàn)代方法或技術(shù)一起使用。
一項(xiàng)基本的零信任原則是映射組織的關(guān)鍵數(shù)據(jù),、應(yīng)用程序,、設(shè)備以及用戶如何訪問敏感信息并與之交互。然而,,組織普遍面臨的挑戰(zhàn)是滿足零信任架構(gòu)的以數(shù)據(jù)為中心的需求,,并將其部署到傳統(tǒng)的數(shù)據(jù)孤島中。
設(shè)計(jì)適合自身業(yè)務(wù)模型零信任安全架構(gòu)之路
因此,,顯而易見實(shí)現(xiàn)零信任安全架構(gòu)不是一蹴而就的,,隨著越來越多的組織支持混合或遠(yuǎn)程工作文化,執(zhí)行零信任模型將需要做大量過渡性工作,。最好的零信任安全解決方案可以顯著幫助提高網(wǎng)絡(luò)彈性和安全遠(yuǎn)程訪問,。這些解決方案不僅限于威脅檢測(cè)和響應(yīng)。相反,,它還包括端點(diǎn)安全,、多因素身份驗(yàn)證 (MFA)、 云安全,、身份訪問管理等在內(nèi)的多種方法,。
● 訪問管理和分段是至關(guān)重要的元素。組織可以考慮將零信任模型應(yīng)用于應(yīng)用程序訪問,。高級(jí)零信任網(wǎng)絡(luò)訪問 (ZTNA) 提供對(duì)應(yīng)用程序的輕松訪問,,無論應(yīng)用程序位于何處或從何處訪問。由于每個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)都不同,,因此當(dāng)應(yīng)用程序位于不同位置(如 SaaS 或本地)時(shí),,應(yīng)用程序控制具有挑戰(zhàn)性。
● ZTNA 中集成基于防火墻的客戶端是克服混合工作文化障礙的另一種方法,。ZTNA 模型是從云端自托管,、自管理或完全托管的服務(wù),因此應(yīng)用程序或用戶在哪里都無關(guān)緊要,;它將提供安全的遠(yuǎn)程訪問,。因此,,有效的零信任安全解決方案必須成為任何綜合網(wǎng)絡(luò)安全戰(zhàn)略的一部分。為了克服陳舊系統(tǒng)問題,,組織可以簡(jiǎn)單地向它們部署 MFA,,由于 MFA 是網(wǎng)絡(luò)安全的主要組成部分,它將改善實(shí)施零信任所需的安全態(tài)勢(shì)和威脅響應(yīng),。
● 為防止遺留數(shù)據(jù)孤島問題,,組織可以考慮引入微分段設(shè)計(jì)。這取決于要分割什么,、需要什么訪問控制以及誰擁有特權(quán)訪問權(quán)和所需保護(hù)措施的概念,。通過分段,還可以輕松阻止攻擊在內(nèi)部傳播,,并確保將影響限制在有限的段內(nèi),。
總之,作為一種以身份為中心的業(yè)務(wù)和架構(gòu)安全解決方案,,雖然零信任架構(gòu)能夠幫助組織免受大部分網(wǎng)絡(luò)攻擊,,但組織必須對(duì)其環(huán)境和現(xiàn)有能力進(jìn)行零信任評(píng)估,并制定實(shí)現(xiàn)該目標(biāo)的路線圖,,最終選擇適合組織當(dāng)前業(yè)務(wù)模型的零信任安全解決方案,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<