作者丨Mohit Shah
譯者丨布加迪
策劃丨徐杰承
我們都聽說過許多成功的數字化轉型案例。無論是大數據、物聯網還是云計算,每一項技術都為眾多企業做出了極大貢獻。但卻很少有人會去關注引入這些技術所帶來的復雜性,尤其是在業務網絡基礎架構這一環境下。
模糊的邊界將會引發安全問題。確切地說,移動互聯網、云計算及其他技術的采用,讓外部平臺能夠滲入到企業,而物聯網和大數據等新興技術需要開放和支持,這就使得外部平臺能夠觸及企業。
零信任架構(ZTA)是一種安全方法,它基于如下理念設計:必須驗證組織邊界內外的每個用戶和設備后,才能授予訪問權。本文介紹了零信任安全如何允許用戶以流暢、安全的方式訪問其應用程序,從而幫助業務實現價值。
零信任模型介紹
零信任是一種基于嚴格身份驗證的網絡安全架構。在該架構下,只有經過驗證與授權的用戶和設備才能訪問應用程序與數據。同時,它保護這類應用程序和用戶遠離復雜的互聯網危險。
這類模型最初是由 Forrester 研究公司的分析師提出的。隨著數字化轉型對企業網絡安全架構帶來的影響愈發強烈,零信任模型的作用也變得愈發重要。
零信任模型的基礎
我們將零信任視為一種經過深思熟慮的概念,可用于構建網絡安全生態系統。因此,這能表明我們在實施這種方法后想要實現的最終目標。
零信任安全模型的三大支柱:
- 關閉所有連接
防火墻等許多系統采用傳輸策略,數據在接受審核時被傳輸到接收方。在此情況下,如果發現惡意文件,則會發出通知,但通常為時已晚。零信任的用處在于,它會關閉所有連接,讓系統可以在不熟悉的文件到達目的地之前對文件加以保存和分析。代理架構負責以線速檢查所有流量,這包括加密流量,深度數據和威脅分析予以進一步的支持。
- 消除攻擊面以降低風險頻率
由于零信任,用戶只需連接到他們需要的應用程序和服務,無需連接到網絡。允許一對一連接,減小橫向移動的可能性,并防止受感染設備盯上其他網絡資源。值得注意的是,由零信任保護的人和應用程序在互聯網上不可見,因此無法被跟蹤或定位。
- 使用細粒度策略的數據保護
零信任使用用戶標識和設備狀態來智能驗證訪問權限。它還因基于環境(比如設備、用戶、請求的應用程序和內容類型)采用特定的業務法規而受到認可。當環境發生變化(比如用戶的設備或位置)時,由于策略是可調整的,因此用戶的訪問能力也會受到定期檢查。
零信任對企業的優勢
- 有效控制云和容器環境
說到遷移到云和使用云,安全專家最擔心的是失去可見性和訪問管理。盡管云服務提供商(CSP)近年來在安全方面取得了顯著進步,但工作負載安全這個問題仍然是 CSP 和使用云的公司的共同責任。
實施零信任架構時,安全策略基于所識別的通信工作負載,并直接與工作負載相關聯。因此,安全措施會盡可能貼近需要保護的資產,不受 IP 地址和協議等網絡結構的影響。保護機制不僅能夠適應試圖傳輸的工作負載,而且環境變化后,依然能夠保持一致。
- 降低數據泄露風險
由于零信任基于最小特權原則,因此會假設每個實體(設備、用戶和工作負載)都是敵對的。每個請求都要經過審查,個人和設備都需得到確認,權限都要得到評估,之后才能建立信任。此外,每當環境發生變化,比如用戶的位置或所訪問的數據,這種“信任”都會進行重復審查。
由于不可信賴,通過受感染設備或其他弱點訪問網絡或云實例的攻擊者將無法獲取數據。此外,通過零信任安全方法所建立安全的網段,無法橫向遷移。因而,攻擊者將無處可去,所有訪問都將受到阻止。
- 助力合規計劃
零信任分段可用于針對特定類別的敏感數據設立邊界,這包括數據備份、PCI 數據和信用卡數據。采用細粒度限制有助于受監管的信息和不受監管的信息之間保持數據的清晰分離。對于在數據泄露事件中提供過度特權訪問的扁平網絡設計,零信任分段解決方案提供了更大的可見性和控制性。
- 降低業務和組織層面的風險
在零信任模型中,所有應用程序和服務都被視為是有害的,除非它們的身份特征得到明確驗證,否則無法通信。
因此,零信任通過暴露網絡上的所有內容以及這些資產的連接方式來降低風險。由于已建立了基準,零信任還會刪除過度配置的軟件和服務以及定期驗證每個通信資產的憑據,以降低風險。
結論
零信任架構,可以幫助你確保應用程序的安全性、適應性與可擴展性。企業必須保持零信任網絡架構才能保持競爭力。無論用戶和設備位于何處,零信任都能夠保護企業數據,并為應用程序的快速流暢運行保駕護航。
