隨著移動(dòng)設(shè)備涌入企業(yè)，物聯(lián)網(wǎng)(IoT)的擴(kuò)張，以及網(wǎng)絡(luò)罪犯數(shù)量和復(fù)雜程度的增長，許多安全專家認(rèn)為零信任是抵御不斷變化網(wǎng)絡(luò)和數(shù)據(jù)安全威脅的較好方法。

網(wǎng)絡(luò)安全漏洞往往會(huì)在最不可能的地方被發(fā)現(xiàn)。例如，彭博商業(yè)周刊(BloombergBusinessWeek)中的一個(gè)案例，在酒店房間的窗簾電動(dòng)遙控上有一個(gè)互聯(lián)網(wǎng)端口，可以訪問酒店的內(nèi)部計(jì)算機(jī)系統(tǒng)。網(wǎng)絡(luò)安全承包商在一次安全審計(jì)中發(fā)現(xiàn)了該漏洞。這個(gè)案例說明了：在當(dāng)今的互聯(lián)世界中，后門漏洞幾乎隨處可見。

[[276018]]

什么是“零信任”安全

“零信任”一詞是由Forrester Research的分析師在2013年提交給國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的一份報(bào)告中提出的，該研究所是美國政府網(wǎng)絡(luò)安全方案的一部分。因?yàn)橐苿?dòng)和大數(shù)據(jù)使‘建造更堅(jiān)固的墻’成為一場昂貴的鬧劇，無法充分保護(hù)網(wǎng)絡(luò)安全，F(xiàn)orrester提出了零信任的概念。

零信任指的是一種網(wǎng)絡(luò)設(shè)計(jì)理念，“要求通過態(tài)勢感知和強(qiáng)大的漏洞事件管理能力，將安全性構(gòu)建到IT架構(gòu)的DNA中。”簡言之，零信任是將“信任但需要驗(yàn)證”方法轉(zhuǎn)化為“驗(yàn)證而不信任”。

三步構(gòu)建零信任安全網(wǎng)絡(luò)

根據(jù)Forrester的說法，組織應(yīng)該“從內(nèi)到外”理想地重建網(wǎng)絡(luò)，從“我們需要保護(hù)的系統(tǒng)資源和數(shù)據(jù)存儲(chǔ)庫”開始。但是，重建網(wǎng)絡(luò)可能需要很長的時(shí)間。下面三個(gè)步驟，您可以將零信任安全原則引入已有網(wǎng)絡(luò)中。

1. 加強(qiáng)身份驗(yàn)證

雖然密碼是大多數(shù)網(wǎng)絡(luò)的第一道防線，但59%的用戶對多個(gè)帳戶擁有相同的密碼，而且很有可能剩下用戶的密碼只有幾個(gè)字符。

身份和訪問管理(IAM)解決方案使組織能夠通過應(yīng)用多因素身份驗(yàn)證(MFA)來增強(qiáng)安全性。多因素身份驗(yàn)證可能需要生物特征因素，如指紋，虹膜掃描，或使用物理對象，如支持FIDO2的設(shè)備。

2. 網(wǎng)絡(luò)分割

分割或微分割網(wǎng)絡(luò)可以使網(wǎng)絡(luò)被破壞時(shí)保持大部分網(wǎng)絡(luò)的安全，從而最大限度地減少損壞。

實(shí)施網(wǎng)絡(luò)微分割，例如下一代防火墻和數(shù)據(jù)安全控制，這樣入侵者即使能夠突破外圍防御也不能訪問超過定義的數(shù)據(jù)子集。

3. 審查訪問行為

除了保護(hù)網(wǎng)絡(luò)之外，有效的零信任策略還包括監(jiān)控訪問行為和分析模式和趨勢。

分析工具、跟蹤訪問行為以及識(shí)別模式、趨勢和潛在威脅可以增強(qiáng)數(shù)據(jù)安全性，從而增強(qiáng)客戶對網(wǎng)絡(luò)的信任。

網(wǎng)絡(luò)數(shù)據(jù)泄露使客戶信息，企業(yè)知識(shí)產(chǎn)權(quán)、員工記錄等面臨風(fēng)險(xiǎn)。除了經(jīng)濟(jì)損失、聲譽(yù)損失和客戶信心損失，如果發(fā)現(xiàn)其他違法行為，還可能承擔(dān)法律責(zé)任。黑客的網(wǎng)絡(luò)攻擊從不休息，企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)也需要不斷應(yīng)對網(wǎng)絡(luò)攻擊，零信任網(wǎng)絡(luò)構(gòu)建可以為安全團(tuán)隊(duì)提供有力武器。