导语:
数字化发展过程中,伴随着终端与应用的交叉融合,安全边界逐渐模糊。网络威胁也从传统的黑客技术单点攻击逐步向系统化、组织化的持续性攻击转变,网络安全形势愈加复杂。有调研表明68%的受访者担心云应用程序和数据会遭到恶意软件、勒索软件和钓鱼攻击。55%的受访者表示,企业面临的第一大网络安全挑战是如何在混合办公或完全远程办公环境下确保安全。这也就直接导致零信任随着科技的发展愈发的重要。
一、 什么是零信任?
零信任,英文原文是“Zero Trust”,字面意思就是相互间没有信任。其实通过NIST官网发现“零信任是一组不断发展的网络安全范例的术语,这些范例将防御从静态的、基于网络的边界转移到关注用户、资产和资源。零信任架构使用零信任原则来规划工业和企业基础设施和工作流。”
二、零信任落地的关键是什么?
要知道零信任是彻底颠覆传统基于企业网络边界的安全防御模型,它坚守“持续验证、永不信任”的原则,那么它在落地建设过程中会存在诸多挑战。
首先在企业用户的概念里,零信任是一次对传统网络安全框架的推翻和颠覆,想要实现零信任,必须要从零开始,推翻现有的安全架构,抛弃已有的IT资产投入。巨大的成本投入和庞大的改造工程,让许多企业对零信任望而却步。
其次,实施效果和价值难以评估。每个企业级安全产品在被接纳之前必须面对的灵魂拷问,无疑是“如何证明自己的价值”?唯有验证自己比传统安全体系有更好的防御效果,零信任才能获得施展的舞台。
再次,部署与运维管理成本过高。企业用户普遍认为零信任是对传统网络安全框架的重构,涉及业务繁杂、管理节点多、运维周期长,需要投入巨大的资金和人力成本进行建设和持续管理,负担太重。
最后,用户要被迫改变使用习惯。实行零信任后,原有的一些工作流程会发生改变,需要企业用户花时间去适应这一新模式。由此带来的工作效率和用户体验降低,是企业所不愿意承担的。
三、零信任适用的场景
零信任想要顺利落地,不仅需要逾越过技术的大山,还需要对于用户侧业务和场景的深入理解。场景,是零信任战略的出发点,也是零信任是否能成功落地的关键点。特别是现在远程办公,说来就来导致了内网访问激增,可能导致VPN因承载力不足而反复掉线,同时VPN扩容时间长、成本高、易受黑客攻击。在这样的场景下,指掌易零信任方案充分利用网络隐身、性能高效势、部署快速、一体化的办公安全方案等优势保障了疫情期间多家企业快速上线零信任。
四、总结
零信任不是一个全有或全无的问题,它是可以根据组织最需要保护的资产来逐步采用。一个成功的零信任策略需要所有供应商协同工作,以确保他们负责的应用程序或领域的访问安全。有些遗留系统可能无法立即适应零信任方法,但可以预见,针对核心系统的零信任策略会增加组织在 IT 和人员方面的投资。将有越来越多的组织在网络安全项目中小规模地构建零信任模型。
