在您的網絡中，可以信任誰？在零信任范式中，答案是否定的。網絡安全的零信任方法指出，只有在驗證用戶后才應授予訪問權限，并且只能在執行特定任務所需的范圍內授予訪問權限。

在本文中，我們將詳細介紹實現零信任的不同方法。我們探討了零信任架構的基本原則，并考慮了這種網絡安全方法的主要優點和缺點。

簡而言之，零信任

沒有人可以默認信任。

Forrester 專家在描述一種新的安全模型時首先使用了零信任一詞，在該模型中，用戶和設備不再分為受信任和不受信任的組。該模型的核心思想是僅授予經過身份驗證和驗證的用戶訪問權限。

網絡安全中的零信任模型有幾種常見的解釋。2018 年，Idaptive 的網絡安全專家將零信任定義為基于三步過程的模型：

• 驗證用戶的身份
• 驗證設備
• 限制特權訪問

2019 年，微軟公開實施零信任安全模型。他們表示，為了構建理想的零信任環境，需要：

• 通過身份驗證驗證用戶的身份
• 通過設備管理系統驗證設備運行狀況
• 應用最小特權原則
• 驗證所用服務的健康狀況

值得注意的是，第四個組成部分，服務健康，更多的是微軟標記為未來目標的理論概念。

什么是零信任架構？

美國國家標準與技術研究院 (NIST)于 2020 年發布了迄今為止對零信任最詳細的解釋。在特別出版物 (SP) 800-207中，NIST 描述了構建零信任架構 (ZTA) 時需要關注的領域以及構建此類架構的原則。

根據NIST的說法，組織可以通過多種方式建立 ZTA：

• 通過關注用戶訪問權限和基于上下文的身份驗證
• 通過將網絡分成不同的段，并使用不同的策略和訪問規則進行保護
• 通過使用軟件定義的邊界方法

無論如何，零信任架構的三個組成部分構成了其核心：

?策略引擎授予、撤銷或拒絕特定用戶訪問所請求的企業資源。策略執行點 (PEP)啟用、終止和監控用戶與企業資源之間的連接。

?策略管理員根據策略引擎的決定向 PEP 發送命令，以允許或拒絕用戶連接到所請求的資源。

這些組件不需要是單獨的、獨特的系統。根據他們的需要，組織可以選擇部署一個資產來負責執行所有三個組件的任務。或者，組織可以組合多個工具和系統來實現單個組件。

構建零信任架構：NIST 觀點

NIST 建議組織在七個支柱上構建零信任架構：

1. 資源——組織應將其所有數據、計算服務和設備視為需要保護的資源。如果網絡用戶可以從個人設備訪問組織的資源，那么這些設備也可以被視為企業資源。

2. 通信——來自網絡內部和外部的所有通信都必須一視同仁，并以最安全的方法加以保護。

3. 按會話訪問——與關鍵資源或組織的每個連接都應僅在每個會話的基礎上建立。

4. 動態策略——應根據組織的策略規則和動態最小特權原則授予對組織資源的訪問權限。這樣的策略應該確定組織的資源、用戶和這些用戶的訪問權限。

5. 監控——為確保企業資源的適當數據保護和安全，組織應監控這些資源以及對其采取的所有行動。

6. 身份驗證和授權——在授予對任何公司資源的訪問權限之前，組織應該強制執行動態身份驗證和授權。

7. 持續改進——組織應收集有關網絡資產、基礎設施和連接的當前狀態的信息，以改善網絡的安全狀況。

值得注意的是，組織不必一次應用所有這些零信任架構設計原則。您可以將努力限制在實施最適合您需求的幾項原則上。

此外，網絡安全的零信任方法不需要完全替代傳統的基于邊界的網絡架構。相反，它建議通過添加受網關保護的網段、改進訪問策略和規則以及加強用戶活動監控措施來增強現有網絡。

而且由于零信任也有其局限性，因此在決定實施之前，您應該考慮這種方法的優點和缺點。

實施零信任的利弊

在構建零信任架構之前，請考慮這些好處和限制。與任何有前途的方法一樣，零信任有其強弱兩面。讓我們仔細看看在切換到零信任安全架構之前應該考慮的主要優點和缺點。

首先，讓我們概述零信任方法的主要好處：

• 提高資源訪問可見性— 零信任安全方法要求您確定和分類所有網絡資源。這使組織能夠更好地了解誰出于何種原因訪問了哪些資源，并了解應采取哪些措施來保護資源。
• 減少攻擊面——通過將重點轉移到保護個人資源上，實施零信任原則的組織面臨針對網絡外圍的黑客攻擊風險降低。
• 改進監控——實施零信任安全策略與部署用于持續監控和記錄資產狀態和用戶活動的解決方案相關聯，例如擊鍵記錄軟件。這使組織能夠更好地檢測潛在威脅并及時響應。

但是，不能忽視零信任的一些缺點：

• 配置挑戰— 由于無法使用單一解決方案建立 ZTA，因此組織可能難以正確配置他們已經使用的工具。例如，并非所有應用程序都提供部署最小特權原則的方法，這是零信任理念的核心。
• 內部威脅— 雖然顯著增強了對外部攻擊的保護，但 ZTA 并不能完全免疫內部攻擊。如果攻擊者獲得合法用戶的憑據或惡意內部人員濫用其權限，則組織的關鍵資源可能會面臨泄露風險。但是，這個問題可以通過PAM 方法部分解決，該方法具有即時管理、多因素身份驗證 (MFA) 和手動批準訪問請求。
• 對策略決策點的依賴——ZTA 強烈依賴于策略管理員和策略引擎。未經他們的批準，無法建立與企業資源的連接。因此，整個網絡的性能將取決于這兩個組件的正確配置和維護。

好消息是您可以通過小步驟開始實施零信任方法，而 Ekran System 可以幫助您完成這項重要任務。

結論

構建零信任架構是一個復雜且持續的過程。但是，組織不必應用所有零信任原則或同時實施它們。