什么是零信任模型？

零信任安全模型的目標是通過強制執行“從不信任，始終驗證”方法來保護企業網絡免受訪問威脅。您可以通過確保您的網絡默認不信任任何設備或用戶來實現零信任安全。這意味著您的網絡不應該信任任何實體，即使它之前已經過驗證。

零信任模型對于現代企業環境和復雜的企業網絡特別有價值。這些環境通常由眾多互連的部分、移動和遠程連接、基于云的基礎設施和服務以及物聯網 (IoT) 設備組成。

零信任安全提供了各種控制措施，可用于加強現代企業環境的安全性，包括相互身份驗證技術：

無論位置如何，都可以驗證設備的完整性和身份。

除了用戶身份驗證和授權之外，還根據設備運行狀況和身份信任級別提供對服務和應用程序的訪問。

零信任模型的優缺點

以下是零信任模型的一些優點：

減少攻擊面——一旦建立，零信任模型提供比隱式信任方法更好的安全性，特別是在防止網絡內橫向威脅方面。

強大的用戶識別和訪問策略——在零信任的情況下，您應該嚴格管理網絡內的用戶以保護他們的帳戶。使用多因素身份驗證或生物識別技術來確保所有帳戶都得到很好的保護。將用戶分組到角色中，授予他們在工作任務需要時訪問數據和帳戶的權限。

數據的智能分段——在零信任模型中，您應該根據敏感性、類型和用途對數據進行分段。這種方法提供了一種比所有用戶都可以訪問的中央數據池更安全的設置。使用零信任方法，敏感或關鍵數據是安全的，并且您可以減少潛在的攻擊面。

增強的數據保護——零信任保護存儲和傳輸中的數據，這意味著自動備份和散列或加密的消息傳輸。

安全編排——此任務涉及確保所有安全元素協同工作。在一個成功的零信任模型中，沒有任何漏洞未被發現，并且您的安全方法的組合元素可以很好地協同工作并且不會出現不一致。

以下是與零信任策略相關的一些挑戰：

設置時間和精力增加— 當您建立零信任方法時，您需要在現有網絡中重新組織策略。此過程可能具有挑戰性，因為您的網絡需要在向零信任過渡期間正常運行。有時建立一個新的網絡更簡單。如果您的舊系統與零信任框架不兼容，您將需要從頭開始構建網絡。

增加用戶管理工作——您需要使用零信任方法更密切地監控用戶，僅在需要時授予他們訪問數據的權限。用戶還可以包括員工、客戶、客戶和第三方供應商，這意味著有各種各樣的接入點。使用零信任框架，組織必須為每個組維護特定的策略。

需要管理的設備更多——您不僅需要監控用戶，還必須監控他們的設備。每個設備可能具有特定的屬性和通信協議，必須根據其類型對其進行保護和監控。

復雜的應用程序管理——現代組織使用數百個應用程序。它們可以是基于云的，用戶可以跨多個平臺和設備訪問它們。組織還與第三方共享它們。為了與零信任方法保持一致，您必須根據安全要求和用戶需求定制、規劃和監控每個應用程序。

更嚴格的數據安全性——數據通常存儲在多個位置，這意味著通常需要保護多個站點。您需要根據最高安全標準設置和執行數據安全策略。

幸運的是，新技術正在不斷發展，有助于應對其中的許多挑戰。在早期，您必須從頭開始構建零信任實現。今天，零信任遠不是一種商品，但已經有成熟的專用解決方案可以幫助您設置零信任堆棧的重要部分。讓我們回顧一下最重要的。

零信任技術

微分段

微分段是零信任的基礎技術。它使您能夠將網絡拆分為邏輯的、安全的單元。此技術允許您定義和應用策略，以控制網絡的每個分段區域內的數據和應用程序訪問和使用。

微分段旨在限制允許從一個分段遍歷到另一分段的流量。這種類型的限制限制了整個網絡的橫向移動，從而最大限度地減少了攻擊面。您可以將網絡微分段應用于數據中心以及云環境。在零信任環境中，所有其他組件都集成了微分段功能，或者它們本身提供了微分段功能，以在每個有價值的資產周圍創建一個安全的微邊界。

安全訪問服務邊緣 (SASE)

SASE 是一種云架構模型，它將廣域網 (WAN) 功能與安全即服務功能統一到一個集中式服務中。組織可以使用 SASE 將所有安全和網絡工具集中到一個管理控制臺中。

以下是 SASE 的主要優勢：

集中您的網絡和安全工具。

提供獨立于用戶和資源位置的訪問。

提供可擴展且具有成本效益的遠程訪問解決方案，可有效處理安全和網絡責任。

擴展檢測和響應 (XDR)

XDR 工具提供基于 SaaS 的事件響應和威脅檢測功能。XDR 工具將多個安全產品集成到一個集中的安全操作系統中。有以供應商為中心的 XDR 工具，可在一個許可證下提供多個集成組件，而開放式 XDR 工具則專注于數據存儲和分析，與現有的安全工具集成。

以下是 XDR 的主要優勢：

集中您的事件檢測和響應能力。

提供整個技術環境中威脅的整體和簡化視圖。

提供實時威脅洞察，可以提高事件補救的速度和效率。

利用人工智能 (AI) 檢測跨越安全孤島和邊界的規避威脅。

MITRE ATT&CK 框架

MITRE 是一個非營利組織，提供有關網絡威脅的信息，以幫助解決網絡防御問題。作為他們努力的一部分，MITRE 提供對抗性戰術、技術和常識 (ATT&CK) 框架作為免費且全球可訪問的知識庫。

MITRE ATT&CK 框架提供了有關對手戰術和技術的最新信息。它基于現實生活中的觀察和不斷發展的戰術、技術和矩陣知識庫。組織可以利用該框架來加強其網絡安全戰略。

ATT&CK 本身并不是零信任技術。然而，在零信任環境中，威脅情報是智能驗證和監控用戶連接的關鍵。這種全面的策略、技術和程序 (TTP) 集合可以幫助安全系統識別系統中存在的威脅，并通過加強網絡分段和撤銷訪問來自動響應。

下一代防火墻 (NGFW)

NGFW 是第三代防火墻技術，您可以將其作為軟件或硬件來實施。此防火墻在多個級別（包括端口、協議和應用程序）實施安全策略，以檢測和阻止復雜的攻擊。

以下是 NGFW 技術的顯著功能：

橋接和路由模式

應用控制

身份意識，包括組和用戶控制

集成入侵防御系統 (IPS)

與外部情報來源整合

NGFW 技術的獨特之處在于它可以了解通過防火墻的不同類型的 Web 應用程序流量。它使用此信息來阻止可能利用漏洞的流量。由于其應用程序感知、先進的檢測能力以及與網絡分段的緊密集成，它在零信任設置中至關重要。

身份和訪問管理 (IAM)

IAM 提供有助于管理數字和電子身份的技術、流程和策略。在零信任設置中，組織使用 IAM 來控制用戶對所有內容的訪問 - 無論是在他們的公司網絡內、在云環境中還是在其他地方。

以下是 IAM 的顯著功能，可以為零信任提供安全的分布式訪問：

單點登錄 (SSO) 和聯合身份

特權訪問管理 (PAM)

多重身份驗證 (MFA)

IAM 技術還使您能夠安全地存儲配置文件和身份數據。此外，許多工具提供數據治理功能來幫助控制用戶可以訪問和共享哪些數據，從而為零信任模型增加了另一層保護。

結論

在本文中，我解釋了零信任的基礎知識，并介紹了一系列可以幫助您實現零信任的成熟技術：

微分段- 啟用網段的動態隔離以保護受保護的資源。

安全訪問服務邊緣 (SASE)– 提供廣域網 (WAN) 作為托管服務，內置安全功能。

擴展檢測和響應 (XDR)– 集中安全數據和工具，支持從一個界面進行安全分析、自動和手動響應。

MITRE ATT&CK 框架——提供威脅情報，可以幫助檢測先前驗證的實體的惡意活動。

下一代防火墻 (NGFW)– 在應用層分析和阻止惡意流量并實施微分段規則。

身份和訪問管理 (IAM)– 支持對混合環境中的用戶訪問和權限進行細粒度控制。

零信任實施遠非易事。但是我們已經過去了基于手動網絡分段和臨時授權方案的自助式工作的早期階段。SASE、NGFW 和 IAM 等組件是新的構建塊，它們使零信任安全的實踐更易于管理、更有效并且不那么不堪重負。

我希望這將有助于您在混合組織中實現完全零信任。

審核編輯 黃昊宇