傳統(tǒng)安全機(jī)制假定網(wǎng)絡(luò)內(nèi)的身份和設(shè)備可以被信任，而零信任安全模型則是基于：默認(rèn)情況下任何內(nèi)部或外部用戶或設(shè)備都不可信任。

這種零信任概念由Forrester Research于2010年首次提出。在谷歌和思科部署零信任概念之后，這種身份驗證和授權(quán)方法開始逐漸普及。

零信任是身份和訪問管理(IAM)中的關(guān)鍵概念，其結(jié)構(gòu)旨在限制黑客對企業(yè)網(wǎng)絡(luò)的訪問。

[[281780]]

愛爾蘭厄爾斯特大學(xué)電氣與電子工程師協(xié)會(IEEE)高級成員兼網(wǎng)絡(luò)安全教授Kevin Curran說：“對零信任安全模型的需求之所以出現(xiàn)，部分原因在于企業(yè)不再傾向于在內(nèi)部托管數(shù)據(jù)，而是通過各種平臺和服務(wù)來托管數(shù)據(jù)，這些平臺和服務(wù)駐留在企業(yè)內(nèi)部和外部，并且大量員工和合作伙伴從不同地理位置通過各種設(shè)備來訪問應(yīng)用程序。”

Curran稱，簡而言之，“傳統(tǒng)的安全模型已不再適用”。

在本文中，Curran解釋了企業(yè)如何開始部署零信任模型，并探討零信任安全框架相關(guān)的挑戰(zhàn)。

企業(yè)應(yīng)該如何創(chuàng)建和更新零信任安全框架?

Kevin Curran：為了使零信任安全有效，這里需要新的方法，例如基于用戶和位置進(jìn)行網(wǎng)絡(luò)分段或微分段。零信任要求部署身份和訪問管理、下一代防火墻、業(yè)務(wù)流程編排、多因素身份驗證(MFA)和文件系統(tǒng)權(quán)限。

企業(yè)可通過以下方式部署零信任安全框架：

• 更新網(wǎng)絡(luò)安全策略。應(yīng)定期檢查和審核安全策略中是否存在漏洞，并進(jìn)行測試。
• 驗證每個登陸到網(wǎng)絡(luò)的設(shè)備。這通過強(qiáng)大的身份驗證機(jī)制強(qiáng)制執(zhí)行，對每個用戶采用最小特權(quán)原則也很重要。
• 部署網(wǎng)絡(luò)分段。各種網(wǎng)絡(luò)、外圍和微分段將幫助保護(hù)網(wǎng)絡(luò)。
• 多因素身份驗證。在身份驗證中，每個用戶都必須額外的身份驗證步驟。
• 定期檢查用戶訪問權(quán)限。這可防止受驗證用戶中出現(xiàn)授權(quán)過期的情況。

零信任安全模型有哪些挑戰(zhàn)?

Curran：這種零信任安全框架依賴于強(qiáng)大的管理流程，以保護(hù)企業(yè)IT環(huán)境的安全-這里存在很多挑戰(zhàn)，因為在很多情況下，這迫使企業(yè)在整個企業(yè)中強(qiáng)制部署新流程，而這絕非易事。

另一個挑戰(zhàn)是，員工可能不會好心地承擔(dān)訪問計算機(jī)的額外負(fù)擔(dān)，以及最低特權(quán)原則所強(qiáng)制的降低的訪問級別。

這里需要企業(yè)改變員工思維定勢，特別是對于經(jīng)驗豐富的員工。這里還需要在安全方面進(jìn)行體制改革，同時需要在技​​術(shù)領(lǐng)域付出很多努力，例如推出微分段，這要求重新配置IP數(shù)據(jù)以確保在日常環(huán)境中不會出現(xiàn)中斷。這就是從一開始就應(yīng)該讓CISO、CIO和高級管理層參與進(jìn)來以確保成功的原因。