导语:
近年来,随着远程办公、业务协同、分支互联等业务需求快速发展,越来越多的企业期望能拥有灵活的工作方式,这就是各种应用正在迁移到云上,各个公司的IT设备和应用越来越多样化。也正因如此传统的企业安全边界被打破,零信任也应运而生。
一、 零信任安全理念的起源
零信任概念是由网络去边界化发展改进而来。之前网络的建设理念中,将网络分为内网和外网,网络攻击来自于企业外部是业界的共识,默认做好边界防护就安全了。但是随着云的广泛应用和移动互联网技术的发展,带来日趋开放和复杂的网络边界,内网边界也日趋复杂与模糊,让基于边界的安全防护逐渐失效。在这种情况下,一种“不以边界作为信任条件”的安全理念也就应运而生。这也是零信任最早的由来。
二、如何建设合理的零信任网络架构?
为了通过对于身份的验证和持续验证,发现并解决业务风险,建设合理的零信任安全架构是非常有必要的,只要做好以下几个基本假设就非常轻松了:①网络一直处于危险的环境中,网络中自始至终存在外部或内部威胁;②网络的位置不足以决定网络的可信程度,默认情况下不应该信任网络内部或外部的任何人/设备/系统;③基于认证和授权重构业务访问控制的信任基础;④所有的设备、用户和网络流量都应当被认证、授权和加密;⑤安全策略必须是动态的,并基于设备和用户的多源环境数据和访问行为数据计算而来。
三、零信任落地需要注意事项
零信任安全的落地需要从设备信任;用户信任;传输/会话信任;应用信任和数据信任等方面进行注意。
其中设备信任IT管理员首先需要了解设备,且必须具有监视、管理和控制这些设备的解决方案。用户信任则组织必须使用更安全的用户身份认证的方法。而传输/会话信任则和零信任的另一个关键要素是最小权限原则相关。至于应用信任和数据信任则分别需要注意权限,应用之间的隔离以及防止数据的交叉外泄和破坏。
只要做好上诉的5点信任,我们就可以做出准确的安全策略来进行授权或拒绝访问。
四、总结
如今,零信任受到企业和厂商的格外关注,究其根源是因为“传统安全投资失效”,企业的业务风险依然在持续增长。一次重大的网络安全变革——零信任,已经迫在眉睫,而零信任作为业界目前公认的最佳网络安全方法和架构之一,可以帮助企业实现更细粒度更高效的安全访问控制,更好地保护数据安全和业务安全。
