盡管企業(yè)每年都在增加對網(wǎng)絡(luò)安全技術(shù)、基礎(chǔ)設(shè)施和服務(wù)的支出，但威脅參與者仍在想方設(shè)法躲過這些防御。這主要有兩個原因：第一，人為錯誤：不幸的是，許多用戶仍然沒有認(rèn)真對待安全問題。他們訪問不應(yīng)該訪問的網(wǎng)站，點擊不應(yīng)該點擊的東西，在不應(yīng)該輸入憑據(jù)的地方輸入憑據(jù)。結(jié)果，他們的系統(tǒng)、身份和憑據(jù)被攻破，攻擊者可以輕松地攻破系統(tǒng)。

第二，對應(yīng)用程序的攻擊：攻擊者正在攻擊面向互聯(lián)網(wǎng)的應(yīng)用程序，并利用他們代碼中的錯誤和漏洞。這是因為許多第三方應(yīng)用程序享有隱式信任，企業(yè)通常不會檢查它們的流量。最近的MoVEit黑客攻擊就是一個很好的例子，攻擊者利用了一個漏洞，破壞了1000多個企業(yè)的環(huán)境，竊取了6000多萬人的記錄。

城堡和護(hù)城河的安全方法已經(jīng)過時了

隨著越來越多的員工在公司外圍工作，并在云中訪問數(shù)據(jù)和SaaS應(yīng)用，傳統(tǒng)的城堡和護(hù)城河模式對網(wǎng)絡(luò)安全不再適用。此外，每個暴露于漏洞的企業(yè)都有防火墻，因此防火墻并不總是有效的。威脅參與者現(xiàn)在正在加密所有不好的東西，這些加密的流量正在使用合法通道(如端口443)直接通過防火墻。解密流量并不總是可行的。傳統(tǒng)防火墻通常缺乏能力或性能來檢查傳入的巨大云計算流量。出于這些原因，許多專家認(rèn)為零信任是答案。

零信任實施建議和最佳做法

在現(xiàn)實世界中，如果攻擊者出現(xiàn)在您的大樓并出示公司頒發(fā)的有效ID，他們將獲得對大樓的全面訪問權(quán)限。他們可以去任何部門，查看任何房間，進(jìn)入大樓的所有不同區(qū)域，然后離開。

零信任基于任何用戶、應(yīng)用程序或設(shè)備都不應(yīng)被隱式信任的原則。這意味著，如果攻擊者出現(xiàn)在您的建筑中，他們的身份將在他們訪問的每個房間和部門進(jìn)行驗證，而不僅僅是在前門。美國政府現(xiàn)在要求所有政府機(jī)構(gòu)和承包商必須采用零信任技術(shù)和框架。

研究表明，雖然90%的企業(yè)正在采用零信任，但大多數(shù)企業(yè)在釋放其全部潛力方面存在問題。這是因為零信任令人困惑，安全供應(yīng)商一直在推銷它，就像可以買到現(xiàn)成的技術(shù)一樣。實際上，零信任更像是一種架構(gòu)(一種框架)，沒有什么靈丹妙藥。零信任就是最小化或控制爆炸半徑。以下是實施零信任時應(yīng)牢記的建議：

1、使用現(xiàn)代方法重新開始實施零信任

當(dāng)百視達(dá)試圖智勝Netflix時，他們將一堆DVD播放器連接到了云上。這顯然沒有產(chǎn)生正確的保真度，百視達(dá)破產(chǎn)了。從根本上說，他們做出了錯誤的架構(gòu)選擇。同樣，在零信任的情況下，重要的是考慮技術(shù)債務(wù)并從頭開始構(gòu)建您的安全。如果企業(yè)只是簡單地將安全層放在上面，他們將造成更大的危害，引入更多漏洞，并為管理安全創(chuàng)造更多復(fù)雜性。

2、使用安全云減少攻擊面

永遠(yuǎn)記住這一點：如果你可以到達(dá)，你就是可以突破的。因此，如果應(yīng)用程序暴露在互聯(lián)網(wǎng)上，攻擊者很可能會破壞它。因此，應(yīng)用程序和服務(wù)器必須始終放置在安全云之后，以避免此攻擊媒介?，F(xiàn)在，當(dāng)攻擊者敲你的門時，那是一個總機(jī)，而不是門?？倷C(jī)說：“好吧，你想去哪里?我會為你架起連接的橋梁。我不會將您直接連接到該應(yīng)用程序。這是零信任體系結(jié)構(gòu)的一個重要元素。

3、使用分段以防止側(cè)向移動

雖然網(wǎng)絡(luò)分割并不新鮮，但零信任鼓勵微分割。這意味著企業(yè)應(yīng)在粒度級別對網(wǎng)絡(luò)、工作負(fù)載和應(yīng)用進(jìn)行細(xì)分或分叉。如果攻擊者入侵您的環(huán)境，微分段有助于限制橫向移動，遏制威脅，并限制惡意軟件在整個環(huán)境中傳播。

4、部署細(xì)粒度用戶訪問

人為錯誤是不可避免的。這就是大多數(shù)云入侵和勒索軟件攻擊發(fā)生的原因。如果攻擊者獲得對特權(quán)用戶帳戶的訪問權(quán)限，他們可以利用該帳戶竊取敏感信息、使系統(tǒng)脫機(jī)、劫持系統(tǒng)或在網(wǎng)絡(luò)中橫向移動并危害其他系統(tǒng)。在一個零信任的世界里，用戶可以訪問他們應(yīng)該訪問的東西，但除此之外什么都沒有。

被檢查的不僅僅是一個身份。您必須查看一些上下文參數(shù)(訪問時間、發(fā)出請求的位置、設(shè)備類型等)。要做到這一點，企業(yè)必須實施最小特權(quán)原則，應(yīng)用精細(xì)權(quán)限，并部署既考慮身份又考慮環(huán)境的身份驗證機(jī)制。

5、始終牢記用戶體驗

扼殺零信任項目的最快方式是擾亂用戶。如果您正確部署架構(gòu)，用戶體驗實際上可以得到提升，這有助于減少內(nèi)部摩擦。例如，如果身份驗證是無縫的，訪問和連接將更容易;用戶將欣然接受零信任。

違規(guī)是不可避免的——僅鎖門窗是不夠的。企業(yè)需要的是一種安全級別，即護(hù)送被蒙住眼睛的用戶到大樓所在的位置，然后護(hù)送他們到他們需要去的房間，然后護(hù)送他們離開，同時確保沒有任何東西被帶走或遺落。然而，如果企業(yè)遵循最佳實踐并專注于正確的架構(gòu)和用戶體驗，他們肯定會建立更具彈性的網(wǎng)絡(luò)安全態(tài)勢，這是當(dāng)務(wù)之急。