當我們踏著歡快的步子邁入2019年時，應當明白我們?nèi)匀幻媾R著大規(guī)模的網(wǎng)絡攻擊，網(wǎng)絡攻擊有可能暴露數(shù)百萬人的敏感數(shù)據(jù)，將從企業(yè)及個人聲譽和資產(chǎn)損失各個角度對企業(yè)產(chǎn)生影響。為了積極應對網(wǎng)絡攻擊帶來的挑戰(zhàn)，越來越多的分析公司不斷強調(diào)零信任模型的使用，零信任模型已經(jīng)再次成為網(wǎng)絡安全人士關注的焦點。谷歌等科技巨頭可謂是早期發(fā)布采用零信任的成功典型案例，并提供了減少網(wǎng)絡風險方面所帶來好處的詳細說明。

Zero Trust模型首次由ForresterResearch于2010年與美國國家標準與技術研究院(NIST)合作推出，雖然成為今年的關注焦點但卻不是一個新概念。零信任模型不是使用“信任驗證”的傳統(tǒng)指導方法，而是將“永不信任，始終驗證”作為其指導原則。零信任模型基于以下三個支柱：

• 確保所有資源安全地訪問，無論處在任何位置(換句話說，不再有受信任區(qū)域)。
• 應用最小權限策略，并嚴格執(zhí)行訪問控制。在Zero Trust中，所有用戶最初都是不受信任的。
• 檢查所有流量并記錄。即使源自LAN的流量也被認為是可疑的，并且被記錄和分析，就像它來自WAN一樣對待。

[[255455]]

零信任的行業(yè)動力

零信任模型自成功推出以來，零信任及其概念的優(yōu)勢已經(jīng)悄然發(fā)生了重大變化。如今，很多企業(yè)組織正在使用Zero Trust來推動安全戰(zhàn)略計劃，并通過檢測和響應使業(yè)務決策者和IT領導者能夠?qū)嵤﹦諏嵉念A防措施。

零信任如今是網(wǎng)絡安全行業(yè)的熱門話題，許多思想領袖都站出來使用它來定位和推銷他們的產(chǎn)品，是指導他們設計產(chǎn)品的未來路線圖。最近幾項并購交易甚至受到零信任概念影響，將該功能納入收購方技術組合的愿望(例如，思科以23.5億美元收購Duo Security，Okta 收購ScaleFT)。雖然非所有的安全分析公司都使用相同的Zero Trust命名法，但包括Gartner(推廣CARTA術語，適應性，風險和信任評估)大多數(shù)，451研究機構和KuppingerCole都采用零信任方法來解決當今的威脅問題。

此外，Zero Trust已經(jīng)從一個概念發(fā)展成為越來越多的企業(yè)和政府機構正在使用的安全框架。根據(jù)IDG 2018年安全優(yōu)先事項調(diào)查顯示，71%的以安全為中心的IT決策者都了解零信任模型，已有8%的人在其組織中積極使用它，10%的人開始試用它。

[[255456]]

零信任之路始于身份

實施Zero Trust不需要對現(xiàn)有的網(wǎng)絡架構(如Google執(zhí)行的架構)進行全面的重新設計，可以通過逐步修改當前的基礎設施來實現(xiàn)。從技術角度來看，Zero Trust框架包含旨在保護網(wǎng)絡、數(shù)據(jù)、工作負載、人員/工作人員和設備的各種組件，同時提供對安全威脅的可見性、自動化和協(xié)調(diào)修復以及通過API進行互連。

一個驅(qū)動原則應該是網(wǎng)絡攻擊者訪問敏感數(shù)據(jù)的最簡單方法是破壞用戶的身份。事實上，根據(jù)Forrester Research的調(diào)查數(shù)據(jù)，80%的安全漏洞涉及特權憑證。Gartner表示，65%的企業(yè)存在允許不受限制、不受監(jiān)控和共享使用特權帳戶等問題。

在組織開始實施以身份為中心的安全措施之前，帳戶泄密攻擊將繼續(xù)為數(shù)據(jù)泄露提供完美的偽裝。對于大多數(shù)組織而言，Zero Trust的路徑應該從身份開始。實際上，Gartner建議將Privileged Access Management放在組織的安全項目列表之上。

[[255457]]

承認網(wǎng)絡中已存在不受信任的參與者，涉及基于授予最小特權訪問權限而轉(zhuǎn)向安全模型。此零信任權限方法實現(xiàn)以下元素：

• 驗證用戶是誰
• 將特權訪問請求上下文化
• 建立安全管理環(huán)境
• 授予最低權限
• 審核一切
• 應用自適應安全控件

最終，Zero Trust挑戰(zhàn)并消除了傳統(tǒng)安全措施中固有的信任假設，這些措施使組織容易受到外部和內(nèi)部攻擊。由于特權訪問濫用是當今漏洞的首要因素，考慮零信任模型的組織應該通過投資身份相關技術開始他們的零信任網(wǎng)絡安全旅程。