你的網絡安全嗎?在回答這個問題時，無論企業還是個人，無論是否裝備了防火墻或是部署了殺軟，恐怕都不敢直言安全。正所謂，未知的才是最可怕的。網絡威脅似乎隨時能夠將人們構建的安全防線給吞噬掉。而對于企業網絡來說，要想獲得“終極”安全，零信任理念必須要建立起來了。

[[241126]]

傳統的安全模型過時了

當前，不少企業的網絡防護依舊沿用過時的傳統安全模型，在此種模型下，企業常常只會圍繞數據中心在周圍構建“護城河”來保護其數據資產。可是伴隨辦公移動化遷移，企業分支、遠程辦公、云端辦公的需求越來越多，涉及安全的資產變得比以前更為分散，而防護邊界也日益模糊。

而且對于傳統安全模型來說，往往會假設企業內部的所有行為都是可以信任的，即便部署有防火墻、入侵檢測、DDoS防護等設備，也是針對網絡邊界進行的防護。這就導致一旦攻擊來自企業內部，網絡防護就變得形同虛設。

此外，當下的網絡攻擊不僅從外向內展開，而且很可能發起橫向攻擊，如內部某個網絡節點遭受破壞，攻擊者便可在系統之間隨意跳躍攻擊。因此，鑒于網絡攻擊的日益復雜以及內部威脅的大量增加，現在非常有必要采取一些可有效阻斷攻擊在內部傳播路徑的安全措施了。

零信任成驗證關鍵

對于上述情況，相信只有基于零信任的安全理念才能進一步為企業網絡防護加固。那么，零信任的安全理念是什么樣子的?可以說，零信任是根植于“永不信任，始終驗證”原則上，通過基于用戶、數據和位置的微細分與顆粒度進行劃分，并聯合周邊安全設備共同執行防護檢測與過濾，達到解決網絡內橫向威脅的移動。

為何要強調防止攻擊的橫向移動?這是由于攻擊的滲透點通常不是目標位置，而阻止橫向移動在內網中的作用就相當關鍵了。比如，當攻擊者滲透端點設備成功后，還需要在整個環境中橫向移動，才能到達目標資產所在的數據中心;或者，利用網絡釣魚獲得了準入憑證后，仍需要在對應數據庫通過身份驗證，才能以達到攻擊者想尋求并提取數據的位置一樣。

其中還涉及到如何確定用戶身份，以及能否設置適當的訪問權限等問題。例如，在大多數企業里，市場營銷人員可以訪問包含營銷內容、客戶信息和相關數據庫，但無法訪問財務文件或數據;財務人員則可以訪問與財務相關的數據庫，但不能訪問人力資源信息等等。因此，確定用戶是誰，以及他們可以訪問哪些應用程序，做哪些操作，可是判定相應會話是否合規的重要一步。如果這些交互點或檢查點不到位，又怎能有效識別驗證并阻止入侵行為呢?

如何實現零信任架構

為了構建企業網絡的零信任架構，較為現實的方法是將現有的基礎設施統統考慮在內，并圍繞敏感數據資產創建最小的防護邊界。無論是服務器、終端筆記本電腦，還是應用程序，將網絡扁平化、不受信任系統最小化。

最初可以使用VLAN(虛擬局域網)等傳統設置來創建小邊界，即便它們維護起來很麻煩。然后，再實施高級網絡分段，并采用最低權限的訪問策略并嚴格執行訪問控制。這樣做，企業就可以顯著減少惡意軟件的傳播路徑。

而要做到“始終驗證”，則意味著要檢查并記錄所有流量。為了有效地做到這一點，可以確定適當的交互節點來方便檢查。例如，基于業務策略的安全規則應該用于識別、允許或拒絕通過防護邊界“檢查點”的流量和活動，包括對敏感資源進行分段，建立信任邊界，以防止敏感數據泄漏等操作。

此外，添加更多身份驗證方法來防止基于憑證的攻擊，升級安全設備，培訓人員安全意識等等都是打造零信任架構中的重要環節。

可以預見

在抵御現代網絡威脅，防止敏感數據泄露的攻防博弈面前，敵我雙方此消彼長的態勢在所難免。不過以零信任為目標的防護策略顯然是永不會過時的，即便短期內多數企業還并不容易將其實現，但毋庸置疑的是，安全零信任時代已然到來。