網絡安全對于保護組織免受有害且代價高昂的網絡攻擊至關重要。考慮到這一當務之急，越來越多的組織正在尋求實施零信任架構，以確保網絡攻擊更難被破壞，然后在企業的基礎設施中傳播。

在這篇深入的文章中，我們將全面概述零信任架構。我們的五步指南將總結所涉及的流程，包括針對潛在實施障礙的最佳實踐和簡短的常見問題解答。

什么是零信任以及其重要性？

零信任是指一種網絡安全理念，它從“假設違規”的原則出發，采用“最小特權”的方式授予訪問權限。從最純粹的意義上講，這需要在允許交互繼續進行之前驗證一組資源（人員、工作負載、網絡、數據和設備）之間每次交互的上下文。

如今，許多組織越來越多地混合并分散在云、本地和端點環境中。這種網絡擴展導致了更多可以被黑客攻擊的漏洞，更不用說內部數據泄露的增加了。

為了應對漏洞的增加，需要更好的訪問控制，這就是采用零信任方法變得相關的地方。

零信任最佳實踐

實施零信任架構并不總是那么簡單。然而，流程和技術的進步正在幫助簡化工作。借助當今的新技術，真正的零信任現在是組織實施的實用選擇。在嘗試實施零信任之前要考慮的最佳實踐包括：

• 在網絡內的所有接入點上應用多因素身份驗證。
• 確保所有連接的設備都定期更新和維護良好。
• 進行定期和徹底的監控，以確保嚴格的訪問控制流程。
• 限制對網絡中各個組件的訪問以改進管理。

毫不奇怪，金融機構和銀行，以及谷歌和微軟等領先組織，使用零信任網絡架構，并擺脫了傳統的基于邊界的安全性。全球越來越多的組織紛紛效仿以保護他們的數據。

實施零信任的五個步驟

了解了好處和挑戰之后，是時候考慮設計和實施零信任策略來阻止網絡攻擊的傳播了。這可以分為五個步驟，以幫助簡化流程。

1. 創建策略

在細分您的零信任策略之前，創建定義它的策略很重要。每個問題都需要就如何使用網絡、誰在使用它、他們如何使用它、在哪里等方面提出問題。這將幫助組織內的個人了解新的流程和系統，避免混淆。

2. 確定網絡的攻擊面

攻擊面是指混合網絡上可以被“威脅參與者”攻擊的漏洞數量。網絡犯罪分子或網絡團伙可以發起一系列不同的攻擊，這些攻擊可以在您的網絡上建立未經授權的遠程連接，從而允許他們訪問您的數字基礎設施中的關鍵資源和數據。

映射網絡的攻擊面可讓您確定保護工作的優先級。根據 Forrester 的零信任模型，需要保護五個資產支柱：

人員：用戶只能訪問他們在您的網絡中和跨網絡有權訪問的內容。

網絡：隔離、分段和保護網絡。

設備：保護連接到網絡的設備。

工作負載：保護您用于運營業務的應用程序和工作負載。

數據：隔離、加密和控制數據。

2.定義訪問控制和權限

必須為每個用戶或用戶類型建立訪問和許可級別。零信任策略根據上下文驗證訪問，包括用戶身份、設備、位置、內容類型和被請求的應用程序。策略是自適應的，因此用戶訪問權限會隨著上下文的變化不斷地重新評估。

3. 選擇正確的零信任解決方案

每個網絡都是不同的。一個解決方案可能對一個組織有效，而對另一個組織實際上毫無用處。

Forrester 建議將微分段作為主要的零信任安全控制。分段會將您的混合基礎架構分成不同的區域，從而幫助您確定每個區域需要哪些安全協議。

4. 進行持續監控

實施零信任只是一個開始，如果要有效，您必須不斷監控網絡上的活動以識別弱點并優化安全系統的整體性能。

定期報告可以幫助發現網絡上的異常行為，并評估額外措施是否影響了企業內的績效水平。您的報告將使用一系列分析，這些分析可以為網絡和用戶操作的幾乎任何方面提供有價值的見解。

此外，還可以使用機器學習等先進技術分析查看記錄網絡活動的日志。結合起來，這些數據可以幫助您適應和改進您的零信任網絡，幫助您進行必要的更改以防止新的和更復雜的網絡攻擊。

實施零信任的挑戰

組織通常需要克服三個關鍵挑戰才能成功實施零信任安全。

保護物理和基于云的基礎架構

對于希望建立零信任架構的組織來說，一個主要挑戰是現有網絡的復雜構成。大多數網絡由新舊硬件和軟件、物理設備和基于云的基礎設施組成。基礎設施可以包括基于云的服務器、物理服務器、數據庫、代理、內部應用程序和軟件、VPN、軟件即服務 (SaaS) 等。

使用傳統方法將每個接入點保護到零信任級別可能非常困難，即使對于經驗豐富的工程師也是如此。Illumio 等現代零信任技術可以幫助自動化和簡化流程。

對軟件升級和更改的需求

零信任網絡需要分段技術，以便輕松構建有效策略，然后隨著組織數字基礎設施的發展對其進行更新。

如果沒有統一的通信流量視圖和分段策略的集中管理，組織將難以在當今的分布式和虛擬混合網絡中協調零信任分段。

零信任架構需要靈活的工具，例如微分段平臺、身份感知代理和軟件定義邊界 (SDP) 軟件。

計劃旅行

轉向零信任安全模型是一項需要時間和學習的承諾。網絡規劃，包括決定組織各個方面的權限和訪問級別，似乎令人生畏，尤其是在運行云服務與本地數據中心的混合網絡中。

將零信任理解為旅程而非目的地很重要。它不需要一個完整的計劃；它可以分解為多個小步驟，隨著時間的推移得到解決。這允許組織開始保護他們最關鍵的業務漏洞，而不是在實施任何安全實踐之前等待完整的計劃。

零信任：常見問題 (FAQ)

以下是與零信任架構相關的常見問題解答。

如何選擇零信任提供商？

您選擇的任何零信任提供商都必須符合最高安全標準，例如 ISO 27001 認證和 SOC2 安全要求。

其他需要考慮的因素：

• 供應商擅長哪些技術？
• 該平臺能否擴展以有效分割全球網絡？
• 該平臺對中小型公司是否具有成本效益？
• 該平臺能否同時細分云環境和本地環境？
• 供應商是否提供端點管理？
• 該平臺能否提供通信路徑和分段區域的統一視圖？
• 系統是否識別異常行為？
• 該平臺能否支持較舊的應用程序和設備？
• 提供的支持水平如何？

零信任會取代 VPN 嗎？

不。VPN 仍然提供了一種有效的工具來保護來自遠程端點設備的某些類型的流量。零信任分段提供高度互補的安全性，以確保 VPN 之外的所有區域都得到很好的保護，從而有助于提高網絡安全性。

零信任如何與訪客訪問一起使用？

零信任需要來自網絡上所有用戶和設備的多因素身份驗證。客人需要像員工一樣進行驗證，不得有任何例外。

實施零信任需要多長時間？

設計和實施零信任網絡的時間完全取決于其復雜性和網絡的規模。流程的規劃和評估階段——以及擁有正確的工具和技術——對于減少項目的整體實施時間至關重要。

零信任邁出下一步

零信任安全對于保護當今的混合 IT 環境免受日益增長的網絡威脅至關重要。如果沒有零信任安全提供的保護，組織將面臨勒索軟件和數據盜竊的巨大風險——這些事件可能會對任何組織造成巨大損害。

實現零信任安全需要全面努力，但零信任分段對于使零信任安全對幾乎任何組織都實用和可擴展至關重要。