导语:
在2014年,由云安全联盟CSA的SDP工作组提出的“软件定义边界“(SDP)技术架构标准,在全球成为一个被广泛应用的零信任安全技术解决方案。SDP打破了传统防火墙的物理边界局限,让企业服务器可以在任何数据中心或者云上,办公设备也可以位于任何位置,这顺应云大物移的时代趋势,成为企业上云、移动办公、远程办公、物联网安全、大数据安全的零信任安全最佳实践解决方案。
一、 什么是零信任安全?
零信任安全是一种安全模型,要求试图访问专用网络上资源的每一个人和每一台设备(无论位于网络边界之内还是之外)都必须进行严格的身份验证。ZTNA 是与零信任架构相关的主要技术,但零信任是一种全面的网络安全方法,它融合了几种不同的原理和技术。二、零信任有什么用途
零信任基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。它是一个全面的安全模型,它涵盖了网络安全、应用安全、数据安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。
三、零信任安全的优劣势
(1)零信任具有很多的优点,其中包括:
数据和资源的分割:数据和资源的适当分段可以实现强大的访问策略。零信任通过将企业的网络分成多个分区来保护关键IP免受未经授权的访问。这也减少了攻击面,同时防止威胁通过网络横向移动。
存储和传输中的数据安全:如果企业未能保护传输和存储中的数据,则通过分段减少攻击面和限制数据访问并不能保护企业免受数据泄露、安全漏洞和拦截。可以在零信任采用中包括自动备份、端到端加密和散列数据等方法,因为零信任在存储和传输过程中保护数据。
安全编排:安全编排涉及确保所有安全解决方案和措施能够很好地协同工作,并涵盖所有可能的攻击媒介。找到正确的配置以优化效率,同时减少解决方案之间的冲突可能具有挑战性。理想的零信任模型将所有元素组织起来,相互补充,不留任何空隙。
强大的用户识别和访问策略:零信任模型通过在提供访问权限之前验证谁在请求访问、请求的情况以及访问环境的风险来为应用程序和数据提供保护。这可能涉及添加额外的身份验证层或限制资源功能。
(2)零信任也有不少缺点:
无论上述优势如何,零信任模型都面临着所有企业在计划时都应考虑的一些挑战:
增加管理用户的种类:近年来,企业的员工将大部分工作时间花费在工作场所上是常态。如今,远程工作和混合工作模式已经占据了主导地位。除了劳动力之外,客户和第三方供应商等用户通常需要访问企业的数据和资源。这种更多种类的接入点意味着零信任框架需要为每个团队指定特定的策略,而这是一个需要不断更新的潜在复杂过程。
建立的时间和精力:现有网络中的策略重组是一项挑战,因为在向零信任框架过渡期间需要网络正常运行。有时从头开始构建新网络更容易,尤其是当遗留系统被证明与零信任模型不兼容时。
要管理的设备更加多样化:自带设备政策和物联网设备越来越多地为企业及其员工定义当今的技术格局。显然,支持混合工作的企业必须监督各种各样的工作设备。这意味着现在必须根据零信任要求的特殊性来跟踪和保护大量潜在的通信协议、操作系统以及其他设备和应用程序属性。
增加应用程序管理的复杂性:在实施零信任策略时,还应考虑企业中用于人员和团队进行通信和协作的应用程序的数量。基于云的应用程序用途广泛,足以跨多个平台使用。但是,这种多功能性可能会引入更大的应用程序管理复杂性
四、总结
零信任现在已成大势所趋,无论企业处在云原生之旅中哪个阶段,零信任原则已成为必须,并被大多数中小型企业采用,零信任的核心原则是“从不信任、始终验证”。零信任安全模型会在新型的防护模式下愈发的收到重视。
