伴隨數(shù)字化轉(zhuǎn)型與互聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)的流存節(jié)點和區(qū)域變得繁雜，網(wǎng)絡(luò)邊界加速模糊，網(wǎng)絡(luò)攻擊的數(shù)量和復(fù)雜性持續(xù)加劇，數(shù)據(jù)安全風(fēng)險不斷攀升。迫切需要改變原有防御理念和架構(gòu)，搭建更可靠、更高效、更便捷的安全體系，零信任安全架構(gòu)應(yīng)運而生。

　　2010年，“零信任模型”首次被提出，零信任網(wǎng)絡(luò)模型打破了舊式邊界防護思維，通過多因素身份認(rèn)證、身份與訪問管理、加密、安全評級等技術(shù)手段，微隔離、細粒度訪問控制規(guī)則，以及終端安全狀態(tài)評估等其他數(shù)據(jù)條件，實施其“無法證明可被信任即無法獲得權(quán)限”的安全理念。

　　它重新定義了組織的 IT 安全邊界，零信任架構(gòu)的首要原則是什么都不信任，什么都驗證。組織的所有組成部分：用戶、設(shè)備、應(yīng)用程序、數(shù)據(jù)和軟件，無論是在本地還是在云端，都必須得到驗證、跟蹤和保護。通過反復(fù)的驗證，組織可以極大的減輕惡意行為者用來竊取數(shù)據(jù)、泄露密碼或執(zhí)行可能在企業(yè)環(huán)境中帶來災(zāi)難性影響的其他任務(wù)的攻擊媒介。

　　因此，轉(zhuǎn)向零信任架構(gòu)越來越受到各類企業(yè)和政府組織機構(gòu)的歡迎，美國政府官方還發(fā)布了采用零信任以改善國家網(wǎng)絡(luò)安全的行政命令。但事實上，組織通往零信任的道路仍然存在一些不可避免的挑戰(zhàn)。

　　實施零信任架構(gòu)在當(dāng)前安全環(huán)境中面臨多項挑戰(zhàn)

　　在過去幾年中，疫情的蔓延讓混合辦公和遠程辦公的模式深入人心，但這種遠程工作文化也成為了實施零信任安全模型的重大障礙。遠程訪問的員工越多，傳統(tǒng)基于邊界的安全防護方式就越發(fā)不安全。此外，隨著遠程工作文化越來越普遍，越來越多的員工使用未知設(shè)備、應(yīng)用程序、公共 Wi-Fi、路由器和 VPN 服務(wù)，陌生來源的訪問量遠超以往的任何時候。并且，使用許多在可以訪問敏感業(yè)務(wù)數(shù)據(jù)的設(shè)備上運行的不受信任的應(yīng)用程序同樣是一個重大的安全風(fēng)險。

　　此外，新興技術(shù)與傳統(tǒng)技術(shù)之間的拉鋸戰(zhàn)對組織采用零信任架構(gòu)的計劃也構(gòu)成了另一個重大障礙。許多陳舊的設(shè)備和系統(tǒng)無法通過管理動態(tài)規(guī)則來實現(xiàn)零信任安全模型。此外，一些傳統(tǒng)設(shè)備也不能很好地與在驗證授權(quán)訪問時限制未授權(quán)訪問所需的現(xiàn)代方法或技術(shù)一起使用。

　　一項基本的零信任原則是映射組織的關(guān)鍵數(shù)據(jù)、應(yīng)用程序、設(shè)備以及用戶如何訪問敏感信息并與之交互。然而，組織普遍面臨的挑戰(zhàn)是滿足零信任架構(gòu)的以數(shù)據(jù)為中心的需求，并將其部署到傳統(tǒng)的數(shù)據(jù)孤島中。

　　設(shè)計適合自身業(yè)務(wù)模型零信任安全架構(gòu)之路

　　因此，顯而易見實現(xiàn)零信任安全架構(gòu)不是一蹴而就的，隨著越來越多的組織支持混合或遠程工作文化，執(zhí)行零信任模型將需要做大量過渡性工作。最好的零信任安全解決方案可以顯著幫助提高網(wǎng)絡(luò)彈性和安全遠程訪問。這些解決方案不僅限于威脅檢測和響應(yīng)。相反，它還包括端點安全、多因素身份驗證 （MFA）、 云安全、身份訪問管理等在內(nèi)的多種方法。

　　● 訪問管理和分段是至關(guān)重要的元素。組織可以考慮將零信任模型應(yīng)用于應(yīng)用程序訪問。高級零信任網(wǎng)絡(luò)訪問 （ZTNA） 提供對應(yīng)用程序的輕松訪問，無論應(yīng)用程序位于何處或從何處訪問。由于每個網(wǎng)絡(luò)的結(jié)構(gòu)都不同，因此當(dāng)應(yīng)用程序位于不同位置（如 SaaS 或本地）時，應(yīng)用程序控制具有挑戰(zhàn)性。

　　● ZTNA 中集成基于防火墻的客戶端是克服混合工作文化障礙的另一種方法。ZTNA 模型是從云端自托管、自管理或完全托管的服務(wù)，因此應(yīng)用程序或用戶在哪里都無關(guān)緊要；它將提供安全的遠程訪問。因此，有效的零信任安全解決方案必須成為任何綜合網(wǎng)絡(luò)安全戰(zhàn)略的一部分。為了克服陳舊系統(tǒng)問題，組織可以簡單地向它們部署 MFA，由于 MFA 是網(wǎng)絡(luò)安全的主要組成部分，它將改善實施零信任所需的安全態(tài)勢和威脅響應(yīng)。

　　● 為防止遺留數(shù)據(jù)孤島問題，組織可以考慮引入微分段設(shè)計。這取決于要分割什么、需要什么訪問控制以及誰擁有特權(quán)訪問權(quán)和所需保護措施的概念。通過分段，還可以輕松阻止攻擊在內(nèi)部傳播，并確保將影響限制在有限的段內(nèi)。

　　總之，作為一種以身份為中心的業(yè)務(wù)和架構(gòu)安全解決方案，雖然零信任架構(gòu)能夠幫助組織免受大部分網(wǎng)絡(luò)攻擊，但組織必須對其環(huán)境和現(xiàn)有能力進行零信任評估，并制定實現(xiàn)該目標(biāo)的路線圖，最終選擇適合組織當(dāng)前業(yè)務(wù)模型的零信任安全解決方案。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<