作者│Michael Usiagwu

　　譯者│夏東威

　　最近幾年，網(wǎng)絡(luò)攻擊的嚴(yán)重性和復(fù)雜性有所增加，這可能只是網(wǎng)絡(luò)安全的一個重要轉(zhuǎn)折點，盡管姍姍來遲。安全從業(yè)者關(guān)于企業(yè)和組織使用零信任等技術(shù)保護云技術(shù)的呼聲從未如此之高，也不難看出原因。

　您的云系統(tǒng)中是否已經(jīng)出現(xiàn)漏洞？

　　零信任不是隱式信任用戶或設(shè)備，而是默認(rèn)情況下假設(shè)已經(jīng)發(fā)生了違規(guī)行為，并且?guī)粢驯恍孤?；然后，在允許用戶訪問企業(yè)網(wǎng)絡(luò)、應(yīng)用程序和工具之前，它會對用戶進行嚴(yán)格、持續(xù)的測試，以證明其身份。這對于防范基于身份和訪問的安全風(fēng)險非常重要。

　強調(diào)基于身份的安全

　　零信任技術(shù)安全模型消除了對用戶身份驗證和驗證過程的信任，并強調(diào)基于身份的安全性，尤其是周圍環(huán)境的安全性。

　認(rèn)證

　　這與不那么現(xiàn)代、更傳統(tǒng)的身份驗證方式形成了鮮明對比，在這種方式中，人、設(shè)備和網(wǎng)絡(luò)享有固有的信任。零信任技術(shù)確保網(wǎng)絡(luò)上試圖訪問的每個設(shè)備都通過驗證獲得信任。

　　隨著面向私人和公共部門面臨的網(wǎng)絡(luò)威脅越來越持久，保護它們的安全技術(shù)至關(guān)重要，甚至更好，甚至比網(wǎng)絡(luò)攻擊所使用的技術(shù)還要領(lǐng)先一步。這對于完全防止網(wǎng)絡(luò)攻擊至關(guān)重要，因為網(wǎng)絡(luò)攻擊的負(fù)面影響有時太可怕，企業(yè)無法從中恢復(fù)。

　云安全的雨天

　　根據(jù)2021泰勒斯全球云（Thales Global Cloud）安全研究，五分之一（21%）的企業(yè)在云端擁有他們大部分的敏感數(shù)據(jù)。然而，云中的敏感數(shù)據(jù)一旦出現(xiàn)就變得非常令人望而生畏。

　　你會發(fā)現(xiàn)，40%的受訪企業(yè)在去年報告了漏洞，而只有17%的受訪企業(yè)對他們存儲在云中的一半以上的數(shù)據(jù)進行了加密。

　　然而，在這些受訪企業(yè)采用了多云方法的情況下，這些對數(shù)據(jù)進行加密的企業(yè)數(shù)字下降到了15%。

　遠(yuǎn)程工作者和云呢？

　　此外，隨著越來越多的員工在家中舒適地遠(yuǎn)程工作，組織和企業(yè)意識到，他們的安全參數(shù)和技術(shù)必須擴展到企業(yè)周邊領(lǐng)域。

　　企業(yè)還必須滿足員工遠(yuǎn)程訪問公司網(wǎng)絡(luò)、數(shù)據(jù)和資源的日益增長的需求。這意味著傳統(tǒng)的遺留用戶身份驗證和訪問控制變得不充分——因為它們無法保證云技術(shù)的安全，也無法防止未經(jīng)授權(quán)的使用。

　云計算和企業(yè)數(shù)據(jù)存儲

　　云計算提供了許多好處，因此被組織和企業(yè)廣泛用于互聯(lián)網(wǎng)上的數(shù)據(jù)存儲和管理。隨著技術(shù)的進步，企業(yè)在云計算機和服務(wù)器上存儲的數(shù)據(jù)量急劇增加。

　　因此，保護云基礎(chǔ)設(shè)施免受由于采用多個基于云的應(yīng)用程序、服務(wù)和解決方案而可能形成的潛在威脅至關(guān)重要。

　云基礎(chǔ)設(shè)施和未經(jīng)授權(quán)的數(shù)據(jù)訪問

　　組織的云基礎(chǔ)設(shè)施面臨的重大風(fēng)險是未經(jīng)授權(quán)訪問數(shù)據(jù)和數(shù)據(jù)泄露。

　　根據(jù)云安全聚焦報告，55%的受訪者認(rèn)為，通過不當(dāng)訪問控制和濫用員工憑據(jù)進行的未經(jīng)授權(quán)訪問是最大的云安全威脅之一。

　　黑客、有惡意意圖的內(nèi)部人員，甚至在某些情況下，第三方供應(yīng)商，可能會獲得對企業(yè)數(shù)據(jù)、網(wǎng)絡(luò)、端點、設(shè)備或應(yīng)用程序的訪問權(quán)。

　未經(jīng)授權(quán)訪問數(shù)據(jù)

　　未經(jīng)授權(quán)訪問數(shù)據(jù)以及隨之而來的數(shù)據(jù)泄露可能會對組織造成毀滅性影響；財務(wù)的影響、對公司聲譽的不可逆轉(zhuǎn)的損害、監(jiān)管影響導(dǎo)致的財務(wù)困境、法律責(zé)任、事故響應(yīng)成本，以及市場價值下降。

　　實施云安全系統(tǒng)對于保護企業(yè)資源和云基礎(chǔ)設(shè)施至關(guān)重要。

　　企業(yè)應(yīng)該利用零信任的技術(shù)優(yōu)勢和安全進步來提高用戶和應(yīng)用程序的可視性，防止甚至消除基于身份的網(wǎng)絡(luò)攻擊。

　零信任云安全——風(fēng)暴過后的平靜

　　零信任并不是指涉及用戶身份、遠(yuǎn)程用戶訪問或網(wǎng)絡(luò)分割的單一技術(shù)。相反，它是網(wǎng)絡(luò)防御背后的底層技術(shù)向更全面的It安全模型的轉(zhuǎn)變，該模型允許組織在不犧牲性能和用戶體驗的情況下限制對網(wǎng)絡(luò)、應(yīng)用程序和環(huán)境的訪問控制。

　　零信任是一種網(wǎng)絡(luò)安全戰(zhàn)略或框架，其中必須建立安全的網(wǎng)絡(luò)和云基礎(chǔ)設(shè)施，以確保最大程度的安全。

　　它通過用戶身份驗證、驗證和訪問管理來保護云技術(shù)。不幸的是，今天的云環(huán)境可能是充滿敵意的地方，托管關(guān)鍵業(yè)務(wù)和敏感數(shù)據(jù)，使它們成為黑客網(wǎng)絡(luò)攻擊的主要目標(biāo)，黑客意圖竊取、破壞或劫持敏感數(shù)據(jù)作為贖金。

　政府機構(gòu)要求采用零信任安全模式

　　對基于零信任的安全技術(shù)的支持來自安全從業(yè)者和政府機構(gòu)。例如，拜登總統(tǒng)簽署了2021年5月12日零信任執(zhí)行令，要求所有美國政府機構(gòu)都基于其安全系統(tǒng)中的零信任安全模型，包括多因素認(rèn)證（MFA），基本上驗證和認(rèn)可了零信任原則和安全框架。

　　如果再加上美國政府的支持，頂級網(wǎng)絡(luò)安全專家的支持將大大有助于證明零信任安全的有效性和完整性。零信任技術(shù)使云計算和技術(shù)的重要方面現(xiàn)代化并得到保障。

　　提高能見度

　　與云存儲和計算相關(guān)的最大擔(dān)憂是可見性和訪問管理的喪失。零信任策略利用身份驗證、身份驗證因素、授權(quán)控制以及其他身份和訪問管理（IAM）和網(wǎng)絡(luò)安全功能，在授予任何級別的信任之前對用戶進行驗證。

　　零信任旨在驗證請求訪問的用戶的身份，并確定用戶應(yīng)該訪問哪些資源以及訪問權(quán)限。這對于防止內(nèi)部威脅、將敏感數(shù)據(jù)和信息僅限于必要的個人有很大幫助。

　　通過將零信任安全框架和架構(gòu)應(yīng)用于云技術(shù)，企業(yè)可以完全控制誰可以訪問其云資產(chǎn)以及訪問程度；它還賦予公司在必要時授予和撤銷特定用戶對特定資產(chǎn)的訪問權(quán)限的權(quán)力，從而賦予他們對系統(tǒng)的更多可見性和控制權(quán)。

　　降低風(fēng)險

　　因為零信任是基于“最小特權(quán)”的概念，所以每個用戶或設(shè)備，甚至是之前登錄到網(wǎng)絡(luò)的用戶或設(shè)備，都被認(rèn)為受到了威脅。這樣做可以降低數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的風(fēng)險，因為黑客需要在訪問企業(yè)資產(chǎn)之前驗證自己的身份。

　　正確的身份驗證在保護安全系統(tǒng)免受網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露方面大有幫助，從而減少和消除構(gòu)建不良、不安全的安全系統(tǒng)的風(fēng)險。此外，零信任保護企業(yè)在云基礎(chǔ)設(shè)施上持有的個人和有價值的數(shù)據(jù)，從而防止價值數(shù)百萬美元的損失，保護品牌聲譽。

　　用戶體驗和易用性

　　零信任不需要為用戶體驗提供過于復(fù)雜和不友好的方法，因為它可能會使用生物識別等用戶友好的身份驗證技術(shù)。而其復(fù)雜而高效的訪問控制協(xié)議在幕后執(zhí)行，最終用戶看不見。

　　如果實施得當(dāng)，零信任將使企業(yè)和組織能夠提供和部署用戶友好、無縫的身份驗證和技術(shù)工具，從而提高最終用戶的采用率，提高資產(chǎn)的安全性。零信任還簡化了最終用戶體驗，無需管理員批準(zhǔn)即可訪問網(wǎng)絡(luò)中的資產(chǎn)。

　　所有這些零信任接觸最終將被用于將數(shù)字安全提升到新的高度，更多的企業(yè)最終將采用它們。毫無疑問，上述討論的方法將有助于組織進入不斷變化的數(shù)字技術(shù)和安全領(lǐng)域。

　　網(wǎng)絡(luò)安全專家不信任零信任，也不推薦零信任保護系統(tǒng)的能力。但由于零信任能夠做到這一點，并提高安全可見性，同時提供出色的用戶體驗，它還是得到了應(yīng)用。

　　結(jié)論

　　零信任絕對是改變云安全格局的技術(shù)。零信任不僅提高了組織的云安全性，還充分利用了企業(yè)應(yīng)用程序，而不會損失性能或?qū)τ脩趔w驗造成負(fù)面影響，從而使企業(yè)看到了保護其云資產(chǎn)的必要性，以及客戶對便捷無縫技術(shù)的需要。

　　隨著最近網(wǎng)絡(luò)攻擊的數(shù)量和嚴(yán)重程度的上升，認(rèn)為未來的網(wǎng)絡(luò)安全形勢將比今天更動蕩是不現(xiàn)實的。有鑒于此，決策者和企業(yè)IT部門最好從戰(zhàn)略上考慮部署基于零信任安全系統(tǒng)的強大安全系統(tǒng)。

　　原文標(biāo)題：Zero Trust – The Silver Lining to Cloud Cyber Attacks

　　原文鏈接：https://readwrite.com/zero-trust-the-silver-lining-to-cloud-cyber-attacks/

　　譯者介紹

　　夏東威，51CTO社區(qū)編輯，信息系統(tǒng)項目師，中國人民大學(xué)傳播學(xué)碩士。具有復(fù)合型知識結(jié)構(gòu)，有20多年IT上市公司市場總監(jiān)、資深研究員、IT項目負(fù)責(zé)人經(jīng)驗。目前任職北京北信源軟件股份有限公司資深研究員，擔(dān)任《東威智庫》和《東哥安全觀》公眾號主編。