?云計算和邊緣計算的日益普及，加上遠程勞動力的增加，正在促使安全架構(gòu)師尋找新方法，以確?；谏矸莸木W(wǎng)絡(luò)安全。

定義安全邊界的傳統(tǒng)方法已不再可行，傳統(tǒng)方法將“受信任”與“不受信任的”通信區(qū)分開來。員工在辦公室和防火墻外工作，并且，云服務(wù)意味著大量業(yè)務(wù)流量從未流經(jīng)企業(yè)局域網(wǎng)。

為了應(yīng)對這種情況，企業(yè)可以使用零信任模型進行身份驗證和授權(quán)，以更好地保護業(yè)務(wù)關(guān)鍵型數(shù)據(jù)。零信任理念和工具已經(jīng)獲得發(fā)展動力，因為它們更適合運行在無邊界的企業(yè)環(huán)境中。

讓我們來看看基于邊界的安全性與零信任，并探討為什么企業(yè)可能希望在不久的將來遷移到零信任理念。

什么是基于邊界的安全性？

經(jīng)典的網(wǎng)絡(luò)設(shè)計是基于企業(yè)局域網(wǎng)的概念而構(gòu)建，這種局域網(wǎng)由交換機、路由器和Wi-Fi連接組成。這個局域網(wǎng)包含一個或多個數(shù)據(jù)中心，這些數(shù)據(jù)中心容納應(yīng)用程序和數(shù)據(jù)。該LAN構(gòu)成安全網(wǎng)絡(luò)邊界。

對于具有基于邊界安全性的企業(yè)，通過INTERNET、VPN和遠程站點跨WAN連接訪問應(yīng)用和服務(wù)，被視為外部。所有連接到該LAN的內(nèi)容都被視為“受信任”，而來自邊界的設(shè)備則“不受信任”。這意味著外部用戶必須通過各種安全和識別工具來證明他們是誰。

什么是零信任？

零信任是企業(yè)信任的一種理念和方法，其中所有用戶、設(shè)備和相互通信都被認(rèn)為不受信任，直到得到驗證，然后隨著時間的推移不斷被重新驗證。這種安全模型使用最小特權(quán)原則來限制用戶或設(shè)備可與之通信的內(nèi)容。如果用戶帳戶或設(shè)備遭到入侵，零信任可顯著降低組織內(nèi)橫向移動的風(fēng)險。

微分段在零信任安全性中起著重要作用，因為網(wǎng)絡(luò)本身在邏輯上被分割成各種安全區(qū)域，直至工作負載級別。這在數(shù)據(jù)中心中非常有用，其中分布式服務(wù)被隔離到安全的網(wǎng)段上，但外部通信嚴(yán)格按照安全策略來執(zhí)行。

為什么要從基于邊界的安全性轉(zhuǎn)向零信任？

基于邊界的安全性的最大問題是它本質(zhì)上是靜態(tài)的。多年來，應(yīng)用程序、設(shè)備和用戶已經(jīng)遷移到傳統(tǒng)的LAN邊界之外，因此，從架構(gòu)的角度來看，這些應(yīng)用程序、設(shè)備和用戶都是不可信。

邊界安全還存在基本缺陷，即從安全邊界內(nèi)部訪問資源的任何人都可以信任。這是糟糕的假設(shè)，因為內(nèi)部威脅與外部威脅一樣多，因惡意和疏忽導(dǎo)致的不同類型的內(nèi)部威脅證明了這一點。

對于基于身份的安全策略來說，在進行身份驗證前不信任任何人，并不斷重新進行身份驗證，這更有意義。零信任方法將所有用戶、設(shè)備、應(yīng)用和通信置于同一安全競爭環(huán)境中。這樣做還可以簡化策略創(chuàng)建，提高可見性和集中訪問控制。