伴隨數字化轉型與互聯網的發展,數據的流存節點和區域變得繁雜,網絡邊界加速模糊,網絡攻擊的數量和復雜性持續加劇,數據安全風險不斷攀升。迫切需要改變原有防御理念和架構,搭建更可靠、更高效、更便捷的安全體系,零信任安全架構應運而生。
2010年,“零信任模型”首次被提出,零信任網絡模型打破了舊式邊界防護思維,通過多因素身份認證、身份與訪問管理、加密、安全評級等技術手段,微隔離、細粒度訪問控制規則,以及終端安全狀態評估等其他數據條件,實施其“無法證明可被信任即無法獲得權限”的安全理念。
它重新定義了組織的 IT 安全邊界,零信任架構的首要原則是什么都不信任,什么都驗證。組織的所有組成部分:用戶、設備、應用程序、數據和軟件,無論是在本地還是在云端,都必須得到驗證、跟蹤和保護。通過反復的驗證,組織可以極大的減輕惡意行為者用來竊取數據、泄露密碼或執行可能在企業環境中帶來災難性影響的其他任務的攻擊媒介。
因此,轉向零信任架構越來越受到各類企業和政府組織機構的歡迎,美國政府官方還發布了采用零信任以改善國家網絡安全的行政命令。但事實上,組織通往零信任的道路仍然存在一些不可避免的挑戰。
實施零信任架構在當前安全環境中面臨多項挑戰
在過去幾年中,疫情的蔓延讓混合辦公和遠程辦公的模式深入人心,但這種遠程工作文化也成為了實施零信任安全模型的重大障礙。遠程訪問的員工越多,傳統基于邊界的安全防護方式就越發不安全。此外,隨著遠程工作文化越來越普遍,越來越多的員工使用未知設備、應用程序、公共 Wi-Fi、路由器和 VPN 服務,陌生來源的訪問量遠超以往的任何時候。并且,使用許多在可以訪問敏感業務數據的設備上運行的不受信任的應用程序同樣是一個重大的安全風險。
此外,新興技術與傳統技術之間的拉鋸戰對組織采用零信任架構的計劃也構成了另一個重大障礙。許多陳舊的設備和系統無法通過管理動態規則來實現零信任安全模型。此外,一些傳統設備也不能很好地與在驗證授權訪問時限制未授權訪問所需的現代方法或技術一起使用。
一項基本的零信任原則是映射組織的關鍵數據、應用程序、設備以及用戶如何訪問敏感信息并與之交互。然而,組織普遍面臨的挑戰是滿足零信任架構的以數據為中心的需求,并將其部署到傳統的數據孤島中。
設計適合自身業務模型零信任安全架構之路
因此,顯而易見實現零信任安全架構不是一蹴而就的,隨著越來越多的組織支持混合或遠程工作文化,執行零信任模型將需要做大量過渡性工作。最好的零信任安全解決方案可以顯著幫助提高網絡彈性和安全遠程訪問。這些解決方案不僅限于威脅檢測和響應。相反,它還包括端點安全、多因素身份驗證 (MFA)、 云安全、身份訪問管理等在內的多種方法。
● 訪問管理和分段是至關重要的元素。組織可以考慮將零信任模型應用于應用程序訪問。高級零信任網絡訪問 (ZTNA) 提供對應用程序的輕松訪問,無論應用程序位于何處或從何處訪問。由于每個網絡的結構都不同,因此當應用程序位于不同位置(如 SaaS 或本地)時,應用程序控制具有挑戰性。
● ZTNA 中集成基于防火墻的客戶端是克服混合工作文化障礙的另一種方法。ZTNA 模型是從云端自托管、自管理或完全托管的服務,因此應用程序或用戶在哪里都無關緊要;它將提供安全的遠程訪問。因此,有效的零信任安全解決方案必須成為任何綜合網絡安全戰略的一部分。為了克服陳舊系統問題,組織可以簡單地向它們部署 MFA,由于 MFA 是網絡安全的主要組成部分,它將改善實施零信任所需的安全態勢和威脅響應。
● 為防止遺留數據孤島問題,組織可以考慮引入微分段設計。這取決于要分割什么、需要什么訪問控制以及誰擁有特權訪問權和所需保護措施的概念。通過分段,還可以輕松阻止攻擊在內部傳播,并確保將影響限制在有限的段內。
總之,作為一種以身份為中心的業務和架構安全解決方案,雖然零信任架構能夠幫助組織免受大部分網絡攻擊,但組織必須對其環境和現有能力進行零信任評估,并制定實現該目標的路線圖,最終選擇適合組織當前業務模型的零信任安全解決方案。
更多信息可以來這里獲取==>>電子技術應用-AET<<