伴隨數(shù)字化轉(zhuǎn)型與互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)的流存節(jié)點(diǎn)和區(qū)域變得繁雜，網(wǎng)絡(luò)邊界加速模糊，網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性持續(xù)加劇，數(shù)據(jù)安全風(fēng)險(xiǎn)不斷攀升。迫切需要改變?cè)蟹烙砟詈图軜?gòu)，搭建更可靠、更高效、更便捷的安全體系，零信任安全架構(gòu)應(yīng)運(yùn)而生。

　　2010年，“零信任模型”首次被提出，零信任網(wǎng)絡(luò)模型打破了舊式邊界防護(hù)思維，通過(guò)多因素身份認(rèn)證、身份與訪問(wèn)管理、加密、安全評(píng)級(jí)等技術(shù)手段，微隔離、細(xì)粒度訪問(wèn)控制規(guī)則，以及終端安全狀態(tài)評(píng)估等其他數(shù)據(jù)條件，實(shí)施其“無(wú)法證明可被信任即無(wú)法獲得權(quán)限”的安全理念。

　　它重新定義了組織的 IT 安全邊界，零信任架構(gòu)的首要原則是什么都不信任，什么都驗(yàn)證。組織的所有組成部分：用戶、設(shè)備、應(yīng)用程序、數(shù)據(jù)和軟件，無(wú)論是在本地還是在云端，都必須得到驗(yàn)證、跟蹤和保護(hù)。通過(guò)反復(fù)的驗(yàn)證，組織可以極大的減輕惡意行為者用來(lái)竊取數(shù)據(jù)、泄露密碼或執(zhí)行可能在企業(yè)環(huán)境中帶來(lái)災(zāi)難性影響的其他任務(wù)的攻擊媒介。

　　因此，轉(zhuǎn)向零信任架構(gòu)越來(lái)越受到各類企業(yè)和政府組織機(jī)構(gòu)的歡迎，美國(guó)政府官方還發(fā)布了采用零信任以改善國(guó)家網(wǎng)絡(luò)安全的行政命令。但事實(shí)上，組織通往零信任的道路仍然存在一些不可避免的挑戰(zhàn)。

　　實(shí)施零信任架構(gòu)在當(dāng)前安全環(huán)境中面臨多項(xiàng)挑戰(zhàn)

　　在過(guò)去幾年中，疫情的蔓延讓混合辦公和遠(yuǎn)程辦公的模式深入人心，但這種遠(yuǎn)程工作文化也成為了實(shí)施零信任安全模型的重大障礙。遠(yuǎn)程訪問(wèn)的員工越多，傳統(tǒng)基于邊界的安全防護(hù)方式就越發(fā)不安全。此外，隨著遠(yuǎn)程工作文化越來(lái)越普遍，越來(lái)越多的員工使用未知設(shè)備、應(yīng)用程序、公共 Wi-Fi、路由器和 VPN 服務(wù)，陌生來(lái)源的訪問(wèn)量遠(yuǎn)超以往的任何時(shí)候。并且，使用許多在可以訪問(wèn)敏感業(yè)務(wù)數(shù)據(jù)的設(shè)備上運(yùn)行的不受信任的應(yīng)用程序同樣是一個(gè)重大的安全風(fēng)險(xiǎn)。

　　此外，新興技術(shù)與傳統(tǒng)技術(shù)之間的拉鋸戰(zhàn)對(duì)組織采用零信任架構(gòu)的計(jì)劃也構(gòu)成了另一個(gè)重大障礙。許多陳舊的設(shè)備和系統(tǒng)無(wú)法通過(guò)管理動(dòng)態(tài)規(guī)則來(lái)實(shí)現(xiàn)零信任安全模型。此外，一些傳統(tǒng)設(shè)備也不能很好地與在驗(yàn)證授權(quán)訪問(wèn)時(shí)限制未授權(quán)訪問(wèn)所需的現(xiàn)代方法或技術(shù)一起使用。

　　一項(xiàng)基本的零信任原則是映射組織的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、設(shè)備以及用戶如何訪問(wèn)敏感信息并與之交互。然而，組織普遍面臨的挑戰(zhàn)是滿足零信任架構(gòu)的以數(shù)據(jù)為中心的需求，并將其部署到傳統(tǒng)的數(shù)據(jù)孤島中。

　　設(shè)計(jì)適合自身業(yè)務(wù)模型零信任安全架構(gòu)之路

　　因此，顯而易見(jiàn)實(shí)現(xiàn)零信任安全架構(gòu)不是一蹴而就的，隨著越來(lái)越多的組織支持混合或遠(yuǎn)程工作文化，執(zhí)行零信任模型將需要做大量過(guò)渡性工作。最好的零信任安全解決方案可以顯著幫助提高網(wǎng)絡(luò)彈性和安全遠(yuǎn)程訪問(wèn)。這些解決方案不僅限于威脅檢測(cè)和響應(yīng)。相反，它還包括端點(diǎn)安全、多因素身份驗(yàn)證 （MFA）、 云安全、身份訪問(wèn)管理等在內(nèi)的多種方法。

　　● 訪問(wèn)管理和分段是至關(guān)重要的元素。組織可以考慮將零信任模型應(yīng)用于應(yīng)用程序訪問(wèn)。高級(jí)零信任網(wǎng)絡(luò)訪問(wèn) （ZTNA） 提供對(duì)應(yīng)用程序的輕松訪問(wèn)，無(wú)論應(yīng)用程序位于何處或從何處訪問(wèn)。由于每個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)都不同，因此當(dāng)應(yīng)用程序位于不同位置（如 SaaS 或本地）時(shí)，應(yīng)用程序控制具有挑戰(zhàn)性。

　　● ZTNA 中集成基于防火墻的客戶端是克服混合工作文化障礙的另一種方法。ZTNA 模型是從云端自托管、自管理或完全托管的服務(wù)，因此應(yīng)用程序或用戶在哪里都無(wú)關(guān)緊要；它將提供安全的遠(yuǎn)程訪問(wèn)。因此，有效的零信任安全解決方案必須成為任何綜合網(wǎng)絡(luò)安全戰(zhàn)略的一部分。為了克服陳舊系統(tǒng)問(wèn)題，組織可以簡(jiǎn)單地向它們部署 MFA，由于 MFA 是網(wǎng)絡(luò)安全的主要組成部分，它將改善實(shí)施零信任所需的安全態(tài)勢(shì)和威脅響應(yīng)。

　　● 為防止遺留數(shù)據(jù)孤島問(wèn)題，組織可以考慮引入微分段設(shè)計(jì)。這取決于要分割什么、需要什么訪問(wèn)控制以及誰(shuí)擁有特權(quán)訪問(wèn)權(quán)和所需保護(hù)措施的概念。通過(guò)分段，還可以輕松阻止攻擊在內(nèi)部傳播，并確保將影響限制在有限的段內(nèi)。

　　總之，作為一種以身份為中心的業(yè)務(wù)和架構(gòu)安全解決方案，雖然零信任架構(gòu)能夠幫助組織免受大部分網(wǎng)絡(luò)攻擊，但組織必須對(duì)其環(huán)境和現(xiàn)有能力進(jìn)行零信任評(píng)估，并制定實(shí)現(xiàn)該目標(biāo)的路線圖，最終選擇適合組織當(dāng)前業(yè)務(wù)模型的零信任安全解決方案。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<