零信任模型成为主流的原因是充分的。高级攻击的增加,以及 ,包括迁移到混合云和远程工作IT 趋势需要更严格、更精细的防御。
零信任可以确保验证和授权每个设备、应用程序和获得每个资源访问权限的用户,完全偏离旧模型。在旧模型中,隐藏的信任是正常的,网络是防火墙,VPN 和 Web 网关保护。毕竟,在过去,假设防火墙上的任何人或任何东西都可以被信任足够安全的。
什么是零信任?
2010年 Forrester Research 首席分析师 John Kindervag 正式建模并命名。然而,这一想法在过去的一年里已经成为安全界的主流,因为 2020年远程工作的突然涌入暴露了隐藏信任模型的缺陷。显然,劫持远程员工是通过员工 VPN 进入防火墙的关键。
零信任也有额外的好处,有助于合规审计,更好地洞察网络,并支持微分段项目关闭网络的不同部分,防止入侵者访问所有内容。
使用这种模式的最大挑战之一可以用一个词来概括:遗产。旧的身份验证协议、工具、应用程序和其他资源可能更难集成到零信任系统中,这就是为什么该运动正在推动更换旧系统的新动力。
零信任是使用当今工具的新思维
零信任不是产品。这是一种依赖于新治理的思维方式和整体方法。
开发人员将现有技术和计划中的更改(例如向混合云环境的过渡)拖放到服务中以实现零信任。它利用了诸如身份和访问管理、端点解决方案、身份保护工具和多因素身份验证等知名技术。
零信任心态的核心是授权的真正含义。也就是说,唯一的情况是授权用户访问他们有权通过授权渠道访问授权设备的应用程序,以最大限度地提高安全性。如果其中任何一部分不在网格中,则不应授予访问权。
我们需要一个文化支点——我们如何看待数字防御范式的变化。零信任模型是动态和不断变化的。在您的系统验证用户和设备并确保至少访问后,监控、学习和适应非常重要。这意味着零信任是一个不断增长和适应性强的过程。
不相信任何人
零信任范式的转变需要以一种新的方式思考。在身份验证方面,一切都是资源。员工、用户设备、数据源、服务等都有相同的状态:默认情况下不允许系统进入。
资源身份验证不是一劳永逸的方法,而是动态的,应用于每个新的访问请求。释放零信任力量的关键是用户 ID、实时可见性、设备凭证权限、设备位置、应用更新状态等属性。
此外,零信任心态降低了边界的作用。例如,未知的外部来源和组织的内部通信平台都可以以同样的方式保护通信。以不同的方式思考一切听起来像是一个巨大的变化,但问题是以不同的方式使用今天的工具,使数据更安全。