隨著美國國防部和聯(lián)邦政府將零信任技術列為關鍵性的新一代安全體系計劃，其作為無邊界化趨勢下的新安全理念，已經(jīng)成為各行業(yè)普遍關注并寄予厚望的焦點技術。但是，由于企業(yè)組織長期圍繞傳統(tǒng)的安全技術和方法制定并實施網(wǎng)絡安全計劃，因此在轉向采用零信任安全的過程中，將面臨很多挑戰(zhàn)和困難。

　　零信任建設充滿挑戰(zhàn)

　　如果我們將現(xiàn)代的零信任方法與傳統(tǒng)的傳統(tǒng)安全方法進行對比，就可以理解為什么美國國家安全局（NSA）、國防部（DoD）、國防工業(yè)基地（DIB）和拜登政府的《網(wǎng)絡安全行政令》都急于要求采用零信任架構（ZTA）。傳統(tǒng)安全策略圍繞較傳統(tǒng)的“內(nèi)部信任”方法而構建，一旦進入可信區(qū)域，應用程序和系統(tǒng)就可以隨意通信，這讓攻擊者比較容易下手。

　　零信任安全架構旨在解決以上這些問題。在零信任環(huán)境中，每個連接和所有訪問都有明確的定義、授權和約束。當服務（如系統(tǒng)、應用程序、容器等）需要與另一個服務連接時，該連接必須使用有效的身份驗證方法，通過某種授權級別。在訪問者證明自己可信任之前，“零信任”將是一種默認的安全狀態(tài)。

　　作為一種方法和架構概念，零信任的作用和價值不難理解。但零信任能否成為加強組織安全防護能力的最佳實踐，還有待進一步的觀察和驗證。零信任不是一種單一的技術或產(chǎn)品，而是一套現(xiàn)代安全策略原則。對企業(yè)來說，零信任是安全理念戰(zhàn)略的終極目標，不可能一蹴而就。零信任環(huán)境建設將是一個充滿挑戰(zhàn)的持續(xù)過程。

　　企業(yè)在開展零信任安全建設時，不能把一切推倒重來，這樣成本會很高，用戶體驗也會有問題。很多零信任解決方案需要用戶對應用環(huán)節(jié)進行改造，但是一些老舊應用改造空間小，因此系統(tǒng)能否順利完成升級并不確定。

　　零信任安全建設還會改變用戶的使用習慣。對企業(yè)來說，建設零信任安全環(huán)境后，原有的一些工作流程會發(fā)生改變。

　　此外，很多企業(yè)現(xiàn)有的安全環(huán)境并不是圍繞零信任原則而設計、構建和部署的，開發(fā)團隊常常以“完全信任”模式構建應用程序和服務環(huán)境，幾乎沒有實施訪問限制或安全控制。只在構建應用程序和云環(huán)境之后，安全和DevOps團隊才竭力對IT系統(tǒng)環(huán)境實施安全控制和訪問限制。隨著云計算應用越來越復雜，安全控制和執(zhí)行的復雜性同樣隨之加大。如果某些控制或配置缺失或不準確，環(huán)境可能很容易受到攻擊。據(jù)Verizon的《2022年數(shù)據(jù)泄露調查報告》顯示，配置錯誤是數(shù)據(jù)泄露的首要來源。

　　自動化是實現(xiàn)零信任的前提

　　如果云基礎設施環(huán)境是使用自動化預構建、預配置和標準化的，那么任何規(guī)模的企業(yè)或組織都可以獲得成本合理的現(xiàn)代零信任架構。開發(fā)人員現(xiàn)在可以一開始就在遵循零信任原則的基礎上構建云應用程序。這意味著訪問權限成為DevOps流程一個不可或缺的組成部分，也成為自動化配置管理實踐的一個關鍵部分。新應用程序添加到環(huán)境中后，開發(fā)人員與安全從業(yè)人員和DevSecOps團隊更加順暢無阻地合作，共同配置訪問權限、授權、日志及關鍵基礎架構的其他組件。

　　在零信任環(huán)境中，由于需要對用戶身份進行多次、持續(xù)的請求和驗證容易造成不好的用戶體驗，因此安全專家將其視為通過機器學習實現(xiàn)自動化的機會。例如，Gartner建議采用一種被稱為“持續(xù)適應性信任”的分析方法CAT，可以使用上下文數(shù)據(jù)（例如設備身份、網(wǎng)絡身份和地理位置）作為一種數(shù)字現(xiàn)實檢查來幫助驗證用戶身份。

　　事實上，網(wǎng)絡中充滿了數(shù)據(jù)，安全專家的人工分析太困難且無效，其中很多數(shù)據(jù)是可以被人工智能實時篩選，自動化地實現(xiàn)零信任環(huán)境的安全性。零信任廠商需要為企業(yè)組織提供自動化工具，幫助他們構建更強大的零信任環(huán)境，保障零信任環(huán)境的防御系統(tǒng)能夠貫穿于IT系統(tǒng)的整個架構中。

更多信息可以來這里獲取==>>電子技術應用-AET<<