網(wǎng)絡(luò)安全對(duì)于保護(hù)組織免受有害且代價(jià)高昂的網(wǎng)絡(luò)攻擊至關(guān)重要?？紤]到這一當(dāng)務(wù)之急，越來(lái)越多的組織正在尋求實(shí)施零信任架構(gòu)，以確保網(wǎng)絡(luò)攻擊更難被破壞，然后在企業(yè)的基礎(chǔ)設(shè)施中傳播。

在這篇深入的文章中，我們將全面概述零信任架構(gòu)。我們的五步指南將總結(jié)所涉及的流程，包括針對(duì)潛在實(shí)施障礙的最佳實(shí)踐和簡(jiǎn)短的常見(jiàn)問(wèn)題解答。

什么是零信任以及其重要性？

零信任是指一種網(wǎng)絡(luò)安全理念，它從“假設(shè)違規(guī)”的原則出發(fā)，采用“最小特權(quán)”的方式授予訪問(wèn)權(quán)限。從最純粹的意義上講，這需要在允許交互繼續(xù)進(jìn)行之前驗(yàn)證一組資源（人員、工作負(fù)載、網(wǎng)絡(luò)、數(shù)據(jù)和設(shè)備）之間每次交互的上下文。

如今，許多組織越來(lái)越多地混合并分散在云、本地和端點(diǎn)環(huán)境中。這種網(wǎng)絡(luò)擴(kuò)展導(dǎo)致了更多可以被黑客攻擊的漏洞，更不用說(shuō)內(nèi)部數(shù)據(jù)泄露的增加了。

為了應(yīng)對(duì)漏洞的增加，需要更好的訪問(wèn)控制，這就是采用零信任方法變得相關(guān)的地方。

零信任最佳實(shí)踐

實(shí)施零信任架構(gòu)并不總是那么簡(jiǎn)單。然而，流程和技術(shù)的進(jìn)步正在幫助簡(jiǎn)化工作。借助當(dāng)今的新技術(shù)，真正的零信任現(xiàn)在是組織實(shí)施的實(shí)用選擇。在嘗試實(shí)施零信任之前要考慮的最佳實(shí)踐包括：

• 在網(wǎng)絡(luò)內(nèi)的所有接入點(diǎn)上應(yīng)用多因素身份驗(yàn)證。
• 確保所有連接的設(shè)備都定期更新和維護(hù)良好。
• 進(jìn)行定期和徹底的監(jiān)控，以確保嚴(yán)格的訪問(wèn)控制流程。
• 限制對(duì)網(wǎng)絡(luò)中各個(gè)組件的訪問(wèn)以改進(jìn)管理。

毫不奇怪，金融機(jī)構(gòu)和銀行，以及谷歌和微軟等領(lǐng)先組織，使用零信任網(wǎng)絡(luò)架構(gòu)，并擺脫了傳統(tǒng)的基于邊界的安全性。全球越來(lái)越多的組織紛紛效仿以保護(hù)他們的數(shù)據(jù)。

實(shí)施零信任的五個(gè)步驟

了解了好處和挑戰(zhàn)之后，是時(shí)候考慮設(shè)計(jì)和實(shí)施零信任策略來(lái)阻止網(wǎng)絡(luò)攻擊的傳播了。這可以分為五個(gè)步驟，以幫助簡(jiǎn)化流程。

1. 創(chuàng)建策略

在細(xì)分您的零信任策略之前，創(chuàng)建定義它的策略很重要。每個(gè)問(wèn)題都需要就如何使用網(wǎng)絡(luò)、誰(shuí)在使用它、他們?nèi)绾问褂盟?、在哪里等方面提出?wèn)題。這將幫助組織內(nèi)的個(gè)人了解新的流程和系統(tǒng)，避免混淆。

2. 確定網(wǎng)絡(luò)的攻擊面

攻擊面是指混合網(wǎng)絡(luò)上可以被“威脅參與者”攻擊的漏洞數(shù)量。網(wǎng)絡(luò)犯罪分子或網(wǎng)絡(luò)團(tuán)伙可以發(fā)起一系列不同的攻擊，這些攻擊可以在您的網(wǎng)絡(luò)上建立未經(jīng)授權(quán)的遠(yuǎn)程連接，從而允許他們?cè)L問(wèn)您的數(shù)字基礎(chǔ)設(shè)施中的關(guān)鍵資源和數(shù)據(jù)。

映射網(wǎng)絡(luò)的攻擊面可讓您確定保護(hù)工作的優(yōu)先級(jí)。根據(jù) Forrester 的零信任模型，需要保護(hù)五個(gè)資產(chǎn)支柱：

人員：用戶只能訪問(wèn)他們?cè)谀木W(wǎng)絡(luò)中和跨網(wǎng)絡(luò)有權(quán)訪問(wèn)的內(nèi)容。

網(wǎng)絡(luò)：隔離、分段和保護(hù)網(wǎng)絡(luò)。

設(shè)備：保護(hù)連接到網(wǎng)絡(luò)的設(shè)備。

工作負(fù)載：保護(hù)您用于運(yùn)營(yíng)業(yè)務(wù)的應(yīng)用程序和工作負(fù)載。

數(shù)據(jù)：隔離、加密和控制數(shù)據(jù)。

2.定義訪問(wèn)控制和權(quán)限

必須為每個(gè)用戶或用戶類型建立訪問(wèn)和許可級(jí)別。零信任策略根據(jù)上下文驗(yàn)證訪問(wèn)，包括用戶身份、設(shè)備、位置、內(nèi)容類型和被請(qǐng)求的應(yīng)用程序。策略是自適應(yīng)的，因此用戶訪問(wèn)權(quán)限會(huì)隨著上下文的變化不斷地重新評(píng)估。

3. 選擇正確的零信任解決方案

每個(gè)網(wǎng)絡(luò)都是不同的。一個(gè)解決方案可能對(duì)一個(gè)組織有效，而對(duì)另一個(gè)組織實(shí)際上毫無(wú)用處。

Forrester 建議將微分段作為主要的零信任安全控制。分段會(huì)將您的混合基礎(chǔ)架構(gòu)分成不同的區(qū)域，從而幫助您確定每個(gè)區(qū)域需要哪些安全協(xié)議。

4. 進(jìn)行持續(xù)監(jiān)控

實(shí)施零信任只是一個(gè)開(kāi)始，如果要有效，您必須不斷監(jiān)控網(wǎng)絡(luò)上的活動(dòng)以識(shí)別弱點(diǎn)并優(yōu)化安全系統(tǒng)的整體性能。

定期報(bào)告可以幫助發(fā)現(xiàn)網(wǎng)絡(luò)上的異常行為，并評(píng)估額外措施是否影響了企業(yè)內(nèi)的績(jī)效水平。您的報(bào)告將使用一系列分析，這些分析可以為網(wǎng)絡(luò)和用戶操作的幾乎任何方面提供有價(jià)值的見(jiàn)解。

此外，還可以使用機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)分析查看記錄網(wǎng)絡(luò)活動(dòng)的日志。結(jié)合起來(lái)，這些數(shù)據(jù)可以幫助您適應(yīng)和改進(jìn)您的零信任網(wǎng)絡(luò)，幫助您進(jìn)行必要的更改以防止新的和更復(fù)雜的網(wǎng)絡(luò)攻擊。

實(shí)施零信任的挑戰(zhàn)

組織通常需要克服三個(gè)關(guān)鍵挑戰(zhàn)才能成功實(shí)施零信任安全。

保護(hù)物理和基于云的基礎(chǔ)架構(gòu)

對(duì)于希望建立零信任架構(gòu)的組織來(lái)說(shuō)，一個(gè)主要挑戰(zhàn)是現(xiàn)有網(wǎng)絡(luò)的復(fù)雜構(gòu)成。大多數(shù)網(wǎng)絡(luò)由新舊硬件和軟件、物理設(shè)備和基于云的基礎(chǔ)設(shè)施組成?；A(chǔ)設(shè)施可以包括基于云的服務(wù)器、物理服務(wù)器、數(shù)據(jù)庫(kù)、代理、內(nèi)部應(yīng)用程序和軟件、VPN、軟件即服務(wù) (SaaS) 等。

使用傳統(tǒng)方法將每個(gè)接入點(diǎn)保護(hù)到零信任級(jí)別可能非常困難，即使對(duì)于經(jīng)驗(yàn)豐富的工程師也是如此。Illumio 等現(xiàn)代零信任技術(shù)可以幫助自動(dòng)化和簡(jiǎn)化流程。

對(duì)軟件升級(jí)和更改的需求

零信任網(wǎng)絡(luò)需要分段技術(shù)，以便輕松構(gòu)建有效策略，然后隨著組織數(shù)字基礎(chǔ)設(shè)施的發(fā)展對(duì)其進(jìn)行更新。

如果沒(méi)有統(tǒng)一的通信流量視圖和分段策略的集中管理，組織將難以在當(dāng)今的分布式和虛擬混合網(wǎng)絡(luò)中協(xié)調(diào)零信任分段。

零信任架構(gòu)需要靈活的工具，例如微分段平臺(tái)、身份感知代理和軟件定義邊界 (SDP) 軟件。

計(jì)劃旅行

轉(zhuǎn)向零信任安全模型是一項(xiàng)需要時(shí)間和學(xué)習(xí)的承諾。網(wǎng)絡(luò)規(guī)劃，包括決定組織各個(gè)方面的權(quán)限和訪問(wèn)級(jí)別，似乎令人生畏，尤其是在運(yùn)行云服務(wù)與本地?cái)?shù)據(jù)中心的混合網(wǎng)絡(luò)中。

將零信任理解為旅程而非目的地很重要。它不需要一個(gè)完整的計(jì)劃；它可以分解為多個(gè)小步驟，隨著時(shí)間的推移得到解決。這允許組織開(kāi)始保護(hù)他們最關(guān)鍵的業(yè)務(wù)漏洞，而不是在實(shí)施任何安全實(shí)踐之前等待完整的計(jì)劃。

零信任：常見(jiàn)問(wèn)題 (FAQ)

以下是與零信任架構(gòu)相關(guān)的常見(jiàn)問(wèn)題解答。

如何選擇零信任提供商？

您選擇的任何零信任提供商都必須符合最高安全標(biāo)準(zhǔn)，例如 ISO 27001 認(rèn)證和 SOC2 安全要求。

其他需要考慮的因素：

• 供應(yīng)商擅長(zhǎng)哪些技術(shù)？
• 該平臺(tái)能否擴(kuò)展以有效分割全球網(wǎng)絡(luò)？
• 該平臺(tái)對(duì)中小型公司是否具有成本效益？
• 該平臺(tái)能否同時(shí)細(xì)分云環(huán)境和本地環(huán)境？
• 供應(yīng)商是否提供端點(diǎn)管理？
• 該平臺(tái)能否提供通信路徑和分段區(qū)域的統(tǒng)一視圖？
• 系統(tǒng)是否識(shí)別異常行為？
• 該平臺(tái)能否支持較舊的應(yīng)用程序和設(shè)備？
• 提供的支持水平如何？

零信任會(huì)取代 VPN 嗎？

不。VPN 仍然提供了一種有效的工具來(lái)保護(hù)來(lái)自遠(yuǎn)程端點(diǎn)設(shè)備的某些類型的流量。零信任分段提供高度互補(bǔ)的安全性，以確保 VPN 之外的所有區(qū)域都得到很好的保護(hù)，從而有助于提高網(wǎng)絡(luò)安全性。

零信任如何與訪客訪問(wèn)一起使用？

零信任需要來(lái)自網(wǎng)絡(luò)上所有用戶和設(shè)備的多因素身份驗(yàn)證?？腿诵枰駟T工一樣進(jìn)行驗(yàn)證，不得有任何例外。

實(shí)施零信任需要多長(zhǎng)時(shí)間？

設(shè)計(jì)和實(shí)施零信任網(wǎng)絡(luò)的時(shí)間完全取決于其復(fù)雜性和網(wǎng)絡(luò)的規(guī)模。流程的規(guī)劃和評(píng)估階段——以及擁有正確的工具和技術(shù)——對(duì)于減少項(xiàng)目的整體實(shí)施時(shí)間至關(guān)重要。

零信任邁出下一步

零信任安全對(duì)于保護(hù)當(dāng)今的混合 IT 環(huán)境免受日益增長(zhǎng)的網(wǎng)絡(luò)威脅至關(guān)重要。如果沒(méi)有零信任安全提供的保護(hù)，組織將面臨勒索軟件和數(shù)據(jù)盜竊的巨大風(fēng)險(xiǎn)——這些事件可能會(huì)對(duì)任何組織造成巨大損害。

實(shí)現(xiàn)零信任安全需要全面努力，但零信任分段對(duì)于使零信任安全對(duì)幾乎任何組織都實(shí)用和可擴(kuò)展至關(guān)重要。