幾十年來，IT 行業依靠邊界安全來保護關鍵數字資產。防火墻和其他基于網絡的工具監控和驗證網絡訪問。然而，向數字化轉型和混合云基礎架構的轉變使這些傳統的安全方法變得不足。顯然，周界已經不存在了。

然后，大流行將漸進的數字化轉型變成了一場突然的爭奪戰。這讓許多公司都在努力保護遠程員工訪問系統的龐大網絡。此外，我們還看到應用程序、API 和物聯網設備呈爆炸式增長，它們都要求連接到網絡。從安全的角度來看，邊界的消失代表著前所未有的挑戰。

早在 2009 年，Forrester 分析師約翰·金德瓦格 (John Kindervag) 就看到這種變化來得很快，他創造了零信任一詞。它的核心是相信信任是一個漏洞，安全設計必須采用“永不信任，始終驗證”的策略。

零信任如何改變了網絡安全的進程？讓我們找出來。

零信任迅速發展

從2014年開始，零信任的概念迅速演變。在真正意義上，零信任可以被認為是一種框架、一種架構甚至一種哲學。例如，2018年，Forrester制定了零信任的七大核心支柱。然而，該公司后來改變了這一立場。他們最近提供了零信任的定義：

“零信任是一種信息安全模型，默認情況下拒絕訪問應用程序和數據。威脅預防是通過僅授予對網絡和工作負載的訪問權限來實現的，該策略使用基于用戶及其相關設備的持續、上下文、基于風險的驗證所提供的策略。零信任提倡以下三個核心原則：默認情況下，所有實體都是不可信的；強制執行最小權限訪問；并實施全面的安全監控。”

為了響應這些要求，安全行業開發了身份和訪問管理(IAM) 等工具，這些工具與最小權限訪問一起構建。這意味著只應將最低限度的必要權限分配給請求訪問資源的任何用戶（或軟件）。此外，特權應在必要的最短時間內有效。

同時，通過安全信息和事件管理（ SIEM ）等解決方案完成全面的安全監控。隨著網絡安全威脅變得更加先進和持久，安全分析師需要付出更多努力來篩選無數事件。通過利用威脅情報，SIEM 可以更輕松地通過高保真警報更快地修復威脅。

太多的安全問題，太少的時間

雜亂無章的安全解決方案使當前的安全形勢更加復雜。這導致安全團隊的手動任務增加，并且缺乏有效減少攻擊面的上下文。隨著數據泄露事件的增多和全球監管的加強，保護網絡變得越來越具有挑戰性。

數據訪問已成為現代組織的一項關鍵要求，需要一個強大的安全基礎設施。零信任旨在滿足這一需求。目標是為所有用戶、設備和資產提供動態和持續的保護。與邊界安全不同，零信任需要不斷驗證才能完全有效，從而為每個交易、連接和用戶實施安全。

實施零信任框架可以全面了解組織的安全狀況。此外，它還可以幫助安全團隊主動管理威脅。憑借一致的安全策略和快速的威脅響應，零信任為現代數據訪問需求提供了更安全、更高效的解決方案。

零信任的更多好處

除了核心安全優勢之外，IT 團隊很快認識到零信任模型的其他優勢。零信任的必然好處包括：

• 通過減少子網上的流量來增強網絡性能
• 提高解決網絡錯誤的能力
• 由于更高的粒度，更簡化的日志記錄和監控過程
• 更短的違規檢測時間。

面對當今的威脅現實

現代網絡威脅地形比以往任何時候都更加危險。攻擊的多樣性和攻擊量不斷增加，每個受害者遭受多次攻擊正迅速成為常態。我們想要一個我們可以隨時隨地連接的世界。但這意味著攻擊可能來自任何地方，也可能來自任何時間。因此，零信任正迅速成為事實上的安全策略。

2022 年 1 月，總統辦公廳發布了關于政府范圍內零信任目標的公告：

“在當前的威脅環境中，聯邦政府不能再依賴傳統的基于邊界的防御來保護關鍵系統和數據，”備忘錄指出。白宮強調，漸進式改進不會提供必要的安全保障。相反，聯邦政府尋求進行大膽的變革和重大投資，以“捍衛支撐美國生活方式的重要機構”。

根據國防部首席信息官約翰謝爾曼的說法，五角大樓計劃到 2027 年在其整個企業中實施零信任架構。“我們的目標是到 2027 年在五年內在國防部的大多數企業系統中部署零信任，”謝爾曼說。

由于零信任的實施并不簡單，美國政府制定了一個雄心勃勃的目標。然而，鑒于當前和不斷增長的對手能力，可能別無選擇。

編譯自：IBM securityintelligence

原作者：喬納森·里德