导语:
零信任的概念于2009年首次推出以来,迄今已经有10多年的历史了,这么多年来零信任一直在发展,现在,零信任已经成为网络安全行业的常用术语了,只是不少厂商和销售团队开始将零信任产品化,导致外界对零信任产生了很多误解。
一、 零信任绝对不是一个产品
很多人在谈零信任的时候都会说,零信任产品这个词,但零信任不是产品,它只是一种有效保护现代IT环境的一种全新方法,它也可以说是一种框架,也是一套切实保护无网络边界的现代企业网络安全的原则。零信任最初由 Forrester引入,NIST等其他安全行业领导者也先后发布了零信任指南。Forrester甚至发布了零信任的部署路线图,指导企业的具体实施。但是无论如何,从没有被定义成是一个产品。
二、为什么零信任会突然火起来
要知道在没有零信任以前,大多数人们在网络安全技术这块几乎都是围绕着两件事展开,一件是修补自己的漏洞,二是发现别人的攻击。只要做好这两件事,那就可以解决我们遇到的网络安全问题,可是随着时间的推移我们发现漏洞是永无止境,即使我们修复了99%的漏洞,攻击者只需要一个0day漏洞,仍然可以突破你的防御。
现在看来我们那种挖掘漏洞的是非常被动的方法,要想主动那就需要零信任技术了,零信任直接从根本上拒绝了所有人,无论是谁,只要你们需要访问我,请求我数据这些,都必须向我提供明确的充分的证据来证明你们的身份,证明你们的行为的合理性,否则我会阻断一切访问。
三、零信任绝不是对抗的技术
零信任技术绝不是又一种攻防对抗技术,他的核心是“永不信任,持续验证”,它不再热衷于挖掘漏洞,解决漏洞,他直接简单粗暴的拒绝所有的人,认为所有人都是不可信的。
在零信任的体系里,取代攻防对抗技术的是身份识别技术与访问控制技术,而在多因子识别技术的帮助下,在密码技术的加持下,理论上,身份是可以唯一确认的,也就是说,只要建立起完整准确细致的身份管理与访问授权体系,只要我们充分地理解我们自身业务的构成,我们在理论上就将拥有一个绝对安全的网络。
四、总结
零信任代表了新一代的网络安全防护理念而不是一种产品,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
