?云計(jì)算和邊緣計(jì)算的日益普及，加上遠(yuǎn)程勞動(dòng)力的增加，正在促使安全架構(gòu)師尋找新方法，以確?；谏矸莸木W(wǎng)絡(luò)安全。

定義安全邊界的傳統(tǒng)方法已不再可行，傳統(tǒng)方法將“受信任”與“不受信任的”通信區(qū)分開(kāi)來(lái)。員工在辦公室和防火墻外工作，并且，云服務(wù)意味著大量業(yè)務(wù)流量從未流經(jīng)企業(yè)局域網(wǎng)。

為了應(yīng)對(duì)這種情況，企業(yè)可以使用零信任模型進(jìn)行身份驗(yàn)證和授權(quán)，以更好地保護(hù)業(yè)務(wù)關(guān)鍵型數(shù)據(jù)。零信任理念和工具已經(jīng)獲得發(fā)展動(dòng)力，因?yàn)樗鼈兏m合運(yùn)行在無(wú)邊界的企業(yè)環(huán)境中。

讓我們來(lái)看看基于邊界的安全性與零信任，并探討為什么企業(yè)可能希望在不久的將來(lái)遷移到零信任理念。

什么是基于邊界的安全性？

經(jīng)典的網(wǎng)絡(luò)設(shè)計(jì)是基于企業(yè)局域網(wǎng)的概念而構(gòu)建，這種局域網(wǎng)由交換機(jī)、路由器和Wi-Fi連接組成。這個(gè)局域網(wǎng)包含一個(gè)或多個(gè)數(shù)據(jù)中心，這些數(shù)據(jù)中心容納應(yīng)用程序和數(shù)據(jù)。該LAN構(gòu)成安全網(wǎng)絡(luò)邊界。

對(duì)于具有基于邊界安全性的企業(yè)，通過(guò)INTERNET、VPN和遠(yuǎn)程站點(diǎn)跨WAN連接訪問(wèn)應(yīng)用和服務(wù)，被視為外部。所有連接到該LAN的內(nèi)容都被視為“受信任”，而來(lái)自邊界的設(shè)備則“不受信任”。這意味著外部用戶必須通過(guò)各種安全和識(shí)別工具來(lái)證明他們是誰(shuí)。

什么是零信任？

零信任是企業(yè)信任的一種理念和方法，其中所有用戶、設(shè)備和相互通信都被認(rèn)為不受信任，直到得到驗(yàn)證，然后隨著時(shí)間的推移不斷被重新驗(yàn)證。這種安全模型使用最小特權(quán)原則來(lái)限制用戶或設(shè)備可與之通信的內(nèi)容。如果用戶帳戶或設(shè)備遭到入侵，零信任可顯著降低組織內(nèi)橫向移動(dòng)的風(fēng)險(xiǎn)。

微分段在零信任安全性中起著重要作用，因?yàn)榫W(wǎng)絡(luò)本身在邏輯上被分割成各種安全區(qū)域，直至工作負(fù)載級(jí)別。這在數(shù)據(jù)中心中非常有用，其中分布式服務(wù)被隔離到安全的網(wǎng)段上，但外部通信嚴(yán)格按照安全策略來(lái)執(zhí)行。

為什么要從基于邊界的安全性轉(zhuǎn)向零信任？

基于邊界的安全性的最大問(wèn)題是它本質(zhì)上是靜態(tài)的。多年來(lái)，應(yīng)用程序、設(shè)備和用戶已經(jīng)遷移到傳統(tǒng)的LAN邊界之外，因此，從架構(gòu)的角度來(lái)看，這些應(yīng)用程序、設(shè)備和用戶都是不可信。

邊界安全還存在基本缺陷，即從安全邊界內(nèi)部訪問(wèn)資源的任何人都可以信任。這是糟糕的假設(shè)，因?yàn)閮?nèi)部威脅與外部威脅一樣多，因惡意和疏忽導(dǎo)致的不同類型的內(nèi)部威脅證明了這一點(diǎn)。

對(duì)于基于身份的安全策略來(lái)說(shuō)，在進(jìn)行身份驗(yàn)證前不信任任何人，并不斷重新進(jìn)行身份驗(yàn)證，這更有意義。零信任方法將所有用戶、設(shè)備、應(yīng)用和通信置于同一安全競(jìng)爭(zhēng)環(huán)境中。這樣做還可以簡(jiǎn)化策略創(chuàng)建，提高可見(jiàn)性和集中訪問(wèn)控制。