零信任模型正在成為主流的理由是充分的。高級攻擊的增加，以及包括遷移到混合云和遠(yuǎn)程工作在內(nèi)的 IT 趨勢，需要更嚴(yán)格和更精細(xì)的防御。

零信任可確保對每個(gè)設(shè)備、每個(gè)應(yīng)用程序和每個(gè)獲得每個(gè)資源訪問權(quán)限的用戶進(jìn)行驗(yàn)證和授權(quán)，完全背離了舊模型。在舊模型中，隱式信任是常態(tài)，網(wǎng)絡(luò)受到防火墻、VPN 和 Web 網(wǎng)關(guān)的保護(hù)。畢竟，在過去，假設(shè)防火墻內(nèi)的任何人或任何東西都可以信任是足夠安全的。

什么是零信任?

這個(gè)概念于 2010 年由 Forrester Research 首席分析師 John Kindervag 正式建模并命名。但這個(gè)想法在過去一年中已成為安全界的主流，因?yàn)?2020 年突然涌入遠(yuǎn)程工作暴露了隱式信任模型的缺陷。很明顯，劫持遠(yuǎn)程工作人員是通過員工 VPN 進(jìn)入防火墻的關(guān)鍵。

零信任也有額外的好處，有助于合規(guī)性審計(jì)并提供對網(wǎng)絡(luò)的更好洞察，還支持微分段項(xiàng)目——關(guān)閉網(wǎng)絡(luò)的不同部分以防止入侵者訪問所有內(nèi)容。

采用這種模式的最大挑戰(zhàn)之一可以用一個(gè)詞來概括：遺產(chǎn)。較舊的身份驗(yàn)證協(xié)議、工具、應(yīng)用程序和其他資源可能更難以集成到零信任系統(tǒng)中，就是為什么該運(yùn)動(dòng)正在推動(dòng)更換舊系統(tǒng)的新動(dòng)力。

零信任是使用當(dāng)今工具的新思維

零信任不是產(chǎn)品。這是一種依賴于新型治理的思維方式和整體方法。

開發(fā)人員將現(xiàn)有技術(shù)和計(jì)劃中的更改(例如向混合云環(huán)境的過渡)拖放到服務(wù)中以實(shí)現(xiàn)零信任。它利用了諸如身份和訪問管理、端點(diǎn)解決方案、身份保護(hù)工具和多因素身份驗(yàn)證等知名技術(shù)。

零信任心態(tài)的核心是授權(quán)的真正含義。也就是說，授權(quán)用戶訪問他們有權(quán)從授權(quán)設(shè)備通過授權(quán)渠道訪問的應(yīng)用程序是唯一最大程度提高安全性的情況。如果其中的任何部分不在網(wǎng)格中，則不應(yīng)授予訪問權(quán)限。

我們需要一個(gè)文化支點(diǎn)——我們?nèi)绾慰创龜?shù)字防御的范式轉(zhuǎn)變。零信任模型是動(dòng)態(tài)且不斷變化的。在您的系統(tǒng)驗(yàn)證用戶和設(shè)備并確保最少訪問后，監(jiān)控、學(xué)習(xí)和適應(yīng)至關(guān)重要。這意味著零信任是一個(gè)不斷增長的、適應(yīng)性強(qiáng)的過程。

不相信任何人

零信任范式轉(zhuǎn)變要求以新的方式思考。在身份驗(yàn)證方面，一切都是資源。員工、用戶設(shè)備、數(shù)據(jù)源、服務(wù)等，都具有相同的狀態(tài)：系統(tǒng)默認(rèn)不讓它們進(jìn)入。

資源身份驗(yàn)證不是一勞永逸的方法，而是動(dòng)態(tài)的，并且在每次新的訪問請求到來時(shí)應(yīng)用。釋放零信任力量的關(guān)鍵是對用戶 ID、設(shè)備行為的實(shí)時(shí)可見性、設(shè)備憑據(jù)權(quán)限、設(shè)備位置、應(yīng)用更新狀態(tài)等屬性。

此外，零信任心態(tài)降低了邊界的作用。例如，無論是來自未知的外部來源還是來自組織的內(nèi)部通信平臺內(nèi)部，都可以以相同的方式保護(hù)通信。以不同的方式思考所有事情聽起來像是一個(gè)巨大的變化，但問題在于以不同的方式使用當(dāng)今的工具，并通過這樣做使數(shù)據(jù)更安全。