根據(jù)2022 年 IBM 數(shù)據(jù)泄露成本報(bào)告顯示，超過 80% 的組織曾發(fā)生過不止一次的數(shù)據(jù)泄露事件。到2022 年數(shù)據(jù)泄露平均損失成本達(dá) 435 萬美元，創(chuàng)歷史新高，比過去兩年增長了 12.7%。

過去，企業(yè)僅專注于保護(hù)邊界和端點(diǎn)。調(diào)查顯示，轉(zhuǎn)向零信任的企業(yè)減少了 20.5% 的數(shù)據(jù)泄露成本損失。零信任安全，也稱為零信任網(wǎng)絡(luò)或零信任架構(gòu)，其有一個(gè)基本原則：從不信任，始終驗(yàn)證。美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST)將零信任安全定義為“一組不斷發(fā)展的網(wǎng)絡(luò)安全范式，將防御從靜態(tài)的、基于網(wǎng)絡(luò)的邊界轉(zhuǎn)移到關(guān)注用戶、資產(chǎn)和資源的領(lǐng)域”。

研究估計(jì)，零信任市場(chǎng)將從 2022 年的 274 億美元增長到 2027 年的 607 億美元，2022 年至 2027 年的復(fù)合年增長率 (CAGR) 為 17.3%。

為什么我們需要零信任？今天的安全有什么問題？

傳統(tǒng)的企業(yè)安全模型基于一個(gè)錯(cuò)誤的前提：將黑客拒之門外。企業(yè)投入了大量的時(shí)間和精力用下一代防火墻來加強(qiáng)邊界，確保虛擬專用網(wǎng)訪問使用多因素身份驗(yàn)證，并不斷搜尋內(nèi)部網(wǎng)絡(luò)的威脅。然而，我們還是每天都能看到有組織遭到黑客攻擊或成為勒索軟件受害者的新聞報(bào)道。

為什么會(huì)這樣？簡單地說，進(jìn)入網(wǎng)絡(luò)的方式太多了。黑客不僅僅依賴配置錯(cuò)誤的設(shè)備或零日漏洞進(jìn)入，他們還很容易通過網(wǎng)絡(luò)釣魚，甚至是賄賂員工或承包商讓后門保持打開狀態(tài)。

傳統(tǒng)的網(wǎng)絡(luò)安全方法是將網(wǎng)絡(luò)分成越來越小的網(wǎng)絡(luò)或網(wǎng)段，可以在網(wǎng)段之間插入安全控制。這使實(shí)施細(xì)化策略或更改策略變得非常困難。另一種方法是為每個(gè)應(yīng)用程序創(chuàng)建VLAN，然而在實(shí)踐發(fā)現(xiàn)中，除了敏感資產(chǎn)之外，其他的很難顧及……

此外，現(xiàn)代企業(yè)應(yīng)用程序的運(yùn)行環(huán)境日益復(fù)雜，應(yīng)用程序和數(shù)據(jù)逐漸從傳統(tǒng)的企業(yè)邊界轉(zhuǎn)移到公共云。防火墻、虛擬專用網(wǎng)和 VLAN已有幾十年的歷史，它們是為簡單的時(shí)代而構(gòu)建，難以支撐當(dāng)今企業(yè)的復(fù)雜和動(dòng)態(tài)需求。

我們以工廠環(huán)境中云和資源之間的連接為例。允許云服務(wù)器連接到工廠車間機(jī)器的策略，由路徑上多達(dá) 6-12 個(gè)不同的路由器、交換機(jī)和防火墻控制，而每個(gè)路由器、交換機(jī)和防火墻可能由不同的團(tuán)隊(duì)管理。

零信任通過將分布式策略重新定義為“誰可以訪問什么內(nèi)容”，極大地簡化了該問題。對(duì)于上面的示例，零信任架構(gòu)可以顯著簡化跨界連接，只需檢查一個(gè)地方來配置策略和驗(yàn)證訪問。

零信任架構(gòu)的原則是什么？

• 持續(xù)監(jiān)控和驗(yàn)證：零信任網(wǎng)絡(luò)假設(shè)攻擊者不僅存在于組織外部，還存在于內(nèi)部，這就是為什么沒有用戶或設(shè)備會(huì)被自動(dòng)信任的原因。零信任網(wǎng)絡(luò)安全框架會(huì)持續(xù)監(jiān)視和驗(yàn)證用戶身份和權(quán)限，以及設(shè)備的身份和安全性。
• 最小權(quán)限訪問：零信任的第二個(gè)原則是最小權(quán)限訪問，它給予用戶有限的訪問權(quán)限，這減少了網(wǎng)絡(luò)敏感部分暴露給未知用戶的風(fēng)險(xiǎn)。
• 設(shè)備訪問控制：在限制用戶訪問的情況下，零信任要求嚴(yán)格的設(shè)備訪問控制，以檢測(cè)試圖訪問其網(wǎng)絡(luò)的設(shè)備數(shù)量，并確保設(shè)備獲得授權(quán)，以最大程度地降低安全漏洞的風(fēng)險(xiǎn)。
• 微分段：微分段將安全邊界分割為微小的區(qū)域，以保持對(duì)網(wǎng)絡(luò)不同段的單獨(dú)訪問。零信任規(guī)定，有權(quán)訪問其中一個(gè)段的用戶或程序，在沒有個(gè)人授權(quán)的情況下將無法訪問其他段。
• 多因素身份驗(yàn)證 (MFA) ：MFA需要多個(gè)證據(jù)來驗(yàn)證用戶，僅輸入密碼是不夠的，用戶還必須輸入發(fā)送到其注冊(cè)設(shè)備的代碼獲得授權(quán)。

SASE 如何與零信任相結(jié)合？兩者又有什么異同？

與其他安全架構(gòu)相似，SASE的目標(biāo)也是為了保護(hù)用戶、應(yīng)用以及數(shù)據(jù)等。

根據(jù)Gartner的定義，SASE（安全訪問服務(wù)邊緣）是一種新興的服務(wù)，它將廣域網(wǎng)與網(wǎng)絡(luò)安全（如：SWG、CASB、FWaaS、ZTNA）結(jié)合起來，從而滿足數(shù)字化企業(yè)的動(dòng)態(tài)安全訪問需求。SASE 是一種基于實(shí)體的身份、實(shí)時(shí)上下文、企業(yè)安全/合規(guī)策略，以及在整個(gè)會(huì)話中持續(xù)評(píng)估風(fēng)險(xiǎn)/信任的服務(wù)。實(shí)體的身份可與人員、人員組（分支辦公室）、設(shè)備、應(yīng)用、服務(wù)、物聯(lián)網(wǎng)系統(tǒng)或邊緣計(jì)算場(chǎng)地相關(guān)聯(lián)。

SASE可以提供多種網(wǎng)絡(luò)與安全能力，包括軟件定義廣域網(wǎng)（SD-WAN）, Web安全網(wǎng)關(guān)（SWG）, 云訪問安全代理（CASB）, 零信任網(wǎng)絡(luò)訪問（ZTNA）以及防火墻即服務(wù)（FWaaS）等核心能力。

零信任是一種安全理念，它并未聚焦在某些特定安全技術(shù)或者產(chǎn)品，其核心思想強(qiáng)調(diào)消除訪問控制中的“隱式信任”。 SASE明確描述了幾種網(wǎng)絡(luò)和安全技術(shù)，其建立在零信任原則的基礎(chǔ)上，零信任是SASE的關(guān)鍵基石。SASE的核心組件為實(shí)現(xiàn)零信任原則“從不信任、始終驗(yàn)證”提供了技術(shù)支撐。

所有的零信任解決方案都一樣嗎？

隨著企業(yè)對(duì)零信任的興趣增加，許多網(wǎng)絡(luò)安全供應(yīng)商將現(xiàn)有的解決方案重新命名為零信任，但這只是一部分，還有其他的解決方案，如軟件定義邊界 (SDP)，它充當(dāng)了邊界的“大門”。

此外，由于零信任架構(gòu)還沒有行業(yè)標(biāo)準(zhǔn)，實(shí)施方式多種多樣，因此建議采用零信任策略的客戶評(píng)估以下因素：

• 零信任愿景的完整性
• 該解決方案適用于哪些類型的網(wǎng)絡(luò)連接（僅限 Web 應(yīng)用程序？SSH？任何 TCP/UDP 流量？）
• 解決方案是否與分段控件原生集成
• 易于實(shí)施端到端的策略管理
• 該解決方案是否需要基礎(chǔ)架構(gòu)升級(jí)才能在本地和云環(huán)境中有效？