幾十年來(lái)，IT 行業(yè)依靠邊界安全來(lái)保護(hù)關(guān)鍵數(shù)字資產(chǎn)。防火墻和其他基于網(wǎng)絡(luò)的工具監(jiān)控和驗(yàn)證網(wǎng)絡(luò)訪(fǎng)問(wèn)。然而，向數(shù)字化轉(zhuǎn)型和混合云基礎(chǔ)架構(gòu)的轉(zhuǎn)變使這些傳統(tǒng)的安全方法變得不足。顯然，周界已經(jīng)不存在了。

然后，大流行將漸進(jìn)的數(shù)字化轉(zhuǎn)型變成了一場(chǎng)突然的爭(zhēng)奪戰(zhàn)。這讓許多公司都在努力保護(hù)遠(yuǎn)程員工訪(fǎng)問(wèn)系統(tǒng)的龐大網(wǎng)絡(luò)。此外，我們還看到應(yīng)用程序、API 和物聯(lián)網(wǎng)設(shè)備呈爆炸式增長(zhǎng)，它們都要求連接到網(wǎng)絡(luò)。從安全的角度來(lái)看，邊界的消失代表著前所未有的挑戰(zhàn)。

早在 2009 年，F(xiàn)orrester 分析師約翰·金德瓦格 (John Kindervag) 就看到這種變化來(lái)得很快，他創(chuàng)造了零信任一詞。它的核心是相信信任是一個(gè)漏洞，安全設(shè)計(jì)必須采用“永不信任，始終驗(yàn)證”的策略。

零信任如何改變了網(wǎng)絡(luò)安全的進(jìn)程？讓我們找出來(lái)。

零信任迅速發(fā)展

從2014年開(kāi)始，零信任的概念迅速演變。在真正意義上，零信任可以被認(rèn)為是一種框架、一種架構(gòu)甚至一種哲學(xué)。例如，2018年，F(xiàn)orrester制定了零信任的七大核心支柱。然而，該公司后來(lái)改變了這一立場(chǎng)。他們最近提供了零信任的定義：

“零信任是一種信息安全模型，默認(rèn)情況下拒絕訪(fǎng)問(wèn)應(yīng)用程序和數(shù)據(jù)。威脅預(yù)防是通過(guò)僅授予對(duì)網(wǎng)絡(luò)和工作負(fù)載的訪(fǎng)問(wèn)權(quán)限來(lái)實(shí)現(xiàn)的，該策略使用基于用戶(hù)及其相關(guān)設(shè)備的持續(xù)、上下文、基于風(fēng)險(xiǎn)的驗(yàn)證所提供的策略。零信任提倡以下三個(gè)核心原則：默認(rèn)情況下，所有實(shí)體都是不可信的；強(qiáng)制執(zhí)行最小權(quán)限訪(fǎng)問(wèn)；并實(shí)施全面的安全監(jiān)控?！?/span>

為了響應(yīng)這些要求，安全行業(yè)開(kāi)發(fā)了身份和訪(fǎng)問(wèn)管理(IAM) 等工具，這些工具與最小權(quán)限訪(fǎng)問(wèn)一起構(gòu)建。這意味著只應(yīng)將最低限度的必要權(quán)限分配給請(qǐng)求訪(fǎng)問(wèn)資源的任何用戶(hù)（或軟件）。此外，特權(quán)應(yīng)在必要的最短時(shí)間內(nèi)有效。

同時(shí)，通過(guò)安全信息和事件管理（ SIEM ）等解決方案完成全面的安全監(jiān)控。隨著網(wǎng)絡(luò)安全威脅變得更加先進(jìn)和持久，安全分析師需要付出更多努力來(lái)篩選無(wú)數(shù)事件。通過(guò)利用威脅情報(bào)，SIEM 可以更輕松地通過(guò)高保真警報(bào)更快地修復(fù)威脅。

太多的安全問(wèn)題，太少的時(shí)間

雜亂無(wú)章的安全解決方案使當(dāng)前的安全形勢(shì)更加復(fù)雜。這導(dǎo)致安全團(tuán)隊(duì)的手動(dòng)任務(wù)增加，并且缺乏有效減少攻擊面的上下文。隨著數(shù)據(jù)泄露事件的增多和全球監(jiān)管的加強(qiáng)，保護(hù)網(wǎng)絡(luò)變得越來(lái)越具有挑戰(zhàn)性。

數(shù)據(jù)訪(fǎng)問(wèn)已成為現(xiàn)代組織的一項(xiàng)關(guān)鍵要求，需要一個(gè)強(qiáng)大的安全基礎(chǔ)設(shè)施。零信任旨在滿(mǎn)足這一需求。目標(biāo)是為所有用戶(hù)、設(shè)備和資產(chǎn)提供動(dòng)態(tài)和持續(xù)的保護(hù)。與邊界安全不同，零信任需要不斷驗(yàn)證才能完全有效，從而為每個(gè)交易、連接和用戶(hù)實(shí)施安全。

實(shí)施零信任框架可以全面了解組織的安全狀況。此外，它還可以幫助安全團(tuán)隊(duì)主動(dòng)管理威脅。憑借一致的安全策略和快速的威脅響應(yīng)，零信任為現(xiàn)代數(shù)據(jù)訪(fǎng)問(wèn)需求提供了更安全、更高效的解決方案。

零信任的更多好處

除了核心安全優(yōu)勢(shì)之外，IT 團(tuán)隊(duì)很快認(rèn)識(shí)到零信任模型的其他優(yōu)勢(shì)。零信任的必然好處包括：

• 通過(guò)減少子網(wǎng)上的流量來(lái)增強(qiáng)網(wǎng)絡(luò)性能
• 提高解決網(wǎng)絡(luò)錯(cuò)誤的能力
• 由于更高的粒度，更簡(jiǎn)化的日志記錄和監(jiān)控過(guò)程
• 更短的違規(guī)檢測(cè)時(shí)間。

面對(duì)當(dāng)今的威脅現(xiàn)實(shí)

現(xiàn)代網(wǎng)絡(luò)威脅地形比以往任何時(shí)候都更加危險(xiǎn)。攻擊的多樣性和攻擊量不斷增加，每個(gè)受害者遭受多次攻擊正迅速成為常態(tài)。我們想要一個(gè)我們可以隨時(shí)隨地連接的世界。但這意味著攻擊可能來(lái)自任何地方，也可能來(lái)自任何時(shí)間。因此，零信任正迅速成為事實(shí)上的安全策略。

2022 年 1 月，總統(tǒng)辦公廳發(fā)布了關(guān)于政府范圍內(nèi)零信任目標(biāo)的公告：

“在當(dāng)前的威脅環(huán)境中，聯(lián)邦政府不能再依賴(lài)傳統(tǒng)的基于邊界的防御來(lái)保護(hù)關(guān)鍵系統(tǒng)和數(shù)據(jù)，”備忘錄指出。白宮強(qiáng)調(diào)，漸進(jìn)式改進(jìn)不會(huì)提供必要的安全保障。相反，聯(lián)邦政府尋求進(jìn)行大膽的變革和重大投資，以“捍衛(wèi)支撐美國(guó)生活方式的重要機(jī)構(gòu)”。

根據(jù)國(guó)防部首席信息官約翰謝爾曼的說(shuō)法，五角大樓計(jì)劃到 2027 年在其整個(gè)企業(yè)中實(shí)施零信任架構(gòu)。“我們的目標(biāo)是到 2027 年在五年內(nèi)在國(guó)防部的大多數(shù)企業(yè)系統(tǒng)中部署零信任，”謝爾曼說(shuō)。

由于零信任的實(shí)施并不簡(jiǎn)單，美國(guó)政府制定了一個(gè)雄心勃勃的目標(biāo)。然而，鑒于當(dāng)前和不斷增長(zhǎng)的對(duì)手能力，可能別無(wú)選擇。

編譯自：IBM securityintelligence

原作者：喬納森·里德