?隨著運營環(huán)境變得更加復(fù)雜，網(wǎng)絡(luò)攻擊面繼續(xù)擴大，增加了黑客造成廣泛破壞的機會。

什么是零信任？

零信任架構(gòu)是指一種基于任何網(wǎng)絡(luò)元素都不可信任的原則的安全方法。零信任拒絕訪問試圖與架構(gòu)交互的用戶、設(shè)備和應(yīng)用程序，除非它們被明確授予訪問權(quán)限;訪問權(quán)不斷得到驗證。在默認情況下，請求從不受信任，即使它們之前已經(jīng)過驗證或獲得了對企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。

像“城堡”和“護城河”這樣的傳統(tǒng)安全模型使用了一個過時的假設(shè)，即企業(yè)網(wǎng)絡(luò)邊界內(nèi)的所有內(nèi)容都應(yīng)該是完全可信的。這導(dǎo)致了零信任，因為這種有問題的信任意味著任何訪問網(wǎng)絡(luò)的人都可以自由橫向移動，并且由于缺乏細粒度的安全控制，都能訪問敏感數(shù)據(jù)。

零信任的優(yōu)缺點

零信任模型可以加強企業(yè)中IT和安全的支柱。然而，盡管提供了許多優(yōu)勢，但它也面臨著一些挑戰(zhàn)。

1. 零信任具有的優(yōu)點

零信任具有很多的優(yōu)點，其中包括：

(1) 數(shù)據(jù)和資源的分割

數(shù)據(jù)和資源的適當分段可以實現(xiàn)強大的訪問策略。零信任通過將企業(yè)的網(wǎng)絡(luò)分成多個分區(qū)來保護關(guān)鍵IP免受未經(jīng)授權(quán)的訪問。這也減少了攻擊面，同時防止威脅通過網(wǎng)絡(luò)橫向移動。

(2) 存儲和傳輸中的數(shù)據(jù)安全

如果企業(yè)未能保護傳輸和存儲中的數(shù)據(jù)，則通過分段減少攻擊面和限制數(shù)據(jù)訪問并不能保護企業(yè)免受數(shù)據(jù)泄露、安全漏洞和攔截?？梢栽诹阈湃尾捎弥邪ㄗ詣觽浞荨⒍说蕉思用芎蜕⒘袛?shù)據(jù)等方法，因為零信任在存儲和傳輸過程中保護數(shù)據(jù)。

(3) 安全編排

安全編排涉及確保所有安全解決方案和措施能夠很好地協(xié)同工作，并涵蓋所有可能的攻擊媒介。找到正確的配置以優(yōu)化效率，同時減少解決方案之間的沖突可能具有挑戰(zhàn)性。理想的零信任模型將所有元素組織起來，相互補充，不留任何空隙。

(4) 強大的用戶識別和訪問策略

零信任模型通過在提供訪問權(quán)限之前驗證誰在請求訪問、請求的情況以及訪問環(huán)境的風(fēng)險來為應(yīng)用程序和數(shù)據(jù)提供保護。這可能涉及添加額外的身份驗證層或限制資源功能。

2. 零信任面臨的挑戰(zhàn)

無論上述優(yōu)勢如何，零信任模型都面臨著所有企業(yè)在計劃時都應(yīng)考慮的一些挑戰(zhàn)：

(1) 增加管理用戶的種類

近年來，企業(yè)的員工將大部分工作時間花費在工作場所上是常態(tài)。如今，遠程工作和混合工作模式已經(jīng)占據(jù)了主導(dǎo)地位。除了勞動力之外，客戶和第三方供應(yīng)商等用戶通常需要訪問企業(yè)的數(shù)據(jù)和資源。這種更多種類的接入點意味著零信任框架需要為每個團隊指定特定的策略，而這是一個需要不斷更新的潛在復(fù)雜過程。

(2) 建立的時間和精力

現(xiàn)有網(wǎng)絡(luò)中的策略重組是一項挑戰(zhàn)，因為在向零信任框架過渡期間需要網(wǎng)絡(luò)正常運行。有時從頭開始構(gòu)建新網(wǎng)絡(luò)更容易，尤其是當遺留系統(tǒng)被證明與零信任模型不兼容時。

(3) 要管理的設(shè)備更加多樣化

自帶設(shè)備政策和物聯(lián)網(wǎng)設(shè)備越來越多地為企業(yè)及其員工定義當今的技術(shù)格局。顯然，支持混合工作的企業(yè)必須監(jiān)督各種各樣的工作設(shè)備。這意味著現(xiàn)在必須根據(jù)零信任要求的特殊性來跟蹤和保護大量潛在的通信協(xié)議、操作系統(tǒng)以及其他設(shè)備和應(yīng)用程序?qū)傩浴?/p>

(4) 增加應(yīng)用程序管理的復(fù)雜性

在實施零信任策略時，還應(yīng)考慮企業(yè)中用于人員和團隊進行通信和協(xié)作的應(yīng)用程序的數(shù)量。基于云的應(yīng)用程序用途廣泛，足以跨多個平臺使用。但是，這種多功能性可能會引入更大的應(yīng)用程序管理復(fù)雜性。

零信任的未來發(fā)展趨勢

(1)零信任將提高安全態(tài)勢管理效率

與策略配置和管理相關(guān)的復(fù)雜性將隨著安全工具的智能化及其對IT的授權(quán)而降低。零信任安全態(tài)勢管理將更快、更有效地檢查軟件補丁丟失、配置漂移和安全策略漏洞等風(fēng)險。

(2)零信任原則將為軟件和DevOps流程提供信息

隨著技術(shù)的發(fā)展，零信任通過現(xiàn)代網(wǎng)絡(luò)和應(yīng)用程序管理工具進行的實時策略執(zhí)行和安全信號驗證將提供更有效的數(shù)據(jù)保護。企業(yè)將擁有實施零信任框架的能力，而無需改造應(yīng)用程序。

(3)通過跨安全支柱的更深入集成簡化策略管理

為了確保安全策略和控制的整體保護和一致執(zhí)行，零信任的范圍正在朝著跨安全支柱的策略統(tǒng)一方向發(fā)展，而不是專注于單獨保護支柱。政策的統(tǒng)一將擴大到涵蓋更多的零信任支柱，以允許安全團隊自動執(zhí)行，這將加強他們的網(wǎng)絡(luò)安全態(tài)勢。

(4)自動響應(yīng)和威脅情報，以增強安全計劃和團隊的能力

如上所述，威脅參與者正變得越來越廣泛，黑客技術(shù)也越來越復(fù)雜。威脅情報在跨支柱關(guān)聯(lián)安全信號方面的作用變得越來越重要。為了解決這個問題，零信任與集成的XDR協(xié)同工作將幫助企業(yè)獲得端到端的可見性、自動響應(yīng)威脅，并增強安全團隊的能力。

零信任和軟件定義網(wǎng)絡(luò)

隨著快速的技術(shù)顛覆和轉(zhuǎn)型定義了當今的商業(yè)格局，企業(yè)必須盡可能靈活以保持其競爭優(yōu)勢。但是，IT生態(tài)系統(tǒng)的擴展使業(yè)務(wù)的靈活性和敏捷性變得復(fù)雜。這推動了對軟件定義網(wǎng)絡(luò)的需求。

在網(wǎng)絡(luò)可擴展性挑戰(zhàn)阻礙創(chuàng)新的情況下，SDN提供了一個潛在的解決方案，因為它有助于減少調(diào)整和適應(yīng)不斷變化的市場需求所需的時間。SDN也適用于難以快速創(chuàng)新的企業(yè)，因為它是一種集中的、基于策略的IT資產(chǎn)管理方法。此外，在企業(yè)因為擔心出現(xiàn)重大漏洞而犧牲創(chuàng)新以專注于彈性的情況下，SDN為企業(yè)安全提供了實用性。

在零信任環(huán)境中，安全性由軟件定義的規(guī)則和策略實現(xiàn)。隨著越來越多的企業(yè)將其網(wǎng)絡(luò)基礎(chǔ)設(shè)施遷移到云端和邊緣，軟件定義的網(wǎng)絡(luò)將與零信任同步發(fā)展。

以下是關(guān)于零信任和SDN的一些要點：

(1) 更大的企業(yè)安全選項

零信任和SDN都為安全團隊提供了更多選項來保護他們的企業(yè)，因為他們不斷對抗惡意軟件、勒索軟件和各種黑客技術(shù)等威脅?；谔摂M和SaaS的Web應(yīng)用程序防火墻預(yù)計將經(jīng)歷增長，因為它們在保護云計算工作負載方面發(fā)揮著越來越重要的作用。

(2) 軟件定義的邊界

軟件定義的邊界和零信任都通過提供現(xiàn)代的網(wǎng)絡(luò)安全方法避免了傳統(tǒng)城堡和護城河固定邊界技術(shù)的先天缺陷。由于軟件定義邊界適用于當今的云計算基礎(chǔ)設(shè)施和混合工作模型，因此用戶對軟件定義邊界的需求不斷增加。軟件定義邊界的日益普及是因為它們能夠使用戶能夠在其環(huán)境中創(chuàng)建可擴展、安全和輕量級的連接。

(3) 軟件定義網(wǎng)絡(luò)和物聯(lián)網(wǎng)

軟件定義網(wǎng)絡(luò)具有網(wǎng)絡(luò)管理效率，使更多企業(yè)能夠有效地實施5G基礎(chǔ)設(shè)施。這為更多企業(yè)實施物聯(lián)網(wǎng)開辟了巨大的機會。先進的SDN技術(shù)越來越多地在混合云系統(tǒng)中實施，以支持物聯(lián)網(wǎng)和5G。隨著這些發(fā)展導(dǎo)致復(fù)雜性呈指數(shù)級增長，零信任變得越來越重要。

(4) SD-WAN和混合工作

由于混合工作模式將繼續(xù)存在，企業(yè)越來越多地通過實施軟件定義的廣域網(wǎng)(SD-WAN)解決方案來適應(yīng)。由于這些SD-WAN解決方案提供了改進的寬帶連接、更好地訪問各種企業(yè)應(yīng)用程序，并提高了應(yīng)用程序性能，因此SD-WAN已在全球范圍內(nèi)發(fā)展。它們目前的增長還受到較低的運營成本和更大的穩(wěn)定性的影響，而這種發(fā)展為零信任提供了更多的安全端點。