信息來源:51cto
傳統(tǒng)安全機制假定網(wǎng)絡(luò)內(nèi)的身份和設(shè)備可以被信任,而零信任安全模型則是基于:默認情況下任何內(nèi)部或外部用戶或設(shè)備都不可信任。
這種零信任概念由Forrester Research于2010年首次提出。在谷歌和思科部署零信任概念之后,這種身份驗證和授權(quán)方法開始逐漸普及。
零信任是身份和訪問管理(IAM)中的關(guān)鍵概念,其結(jié)構(gòu)旨在限制黑客對企業(yè)網(wǎng)絡(luò)的訪問。
愛爾蘭厄爾斯特大學(xué)電氣與電子工程師協(xié)會(IEEE)高級成員兼網(wǎng)絡(luò)安全教授Kevin Curran說:“對零信任安全模型的需求之所以出現(xiàn),部分原因在于企業(yè)不再傾向于在內(nèi)部托管數(shù)據(jù),而是通過各種平臺和服務(wù)來托管數(shù)據(jù),這些平臺和服務(wù)駐留在企業(yè)內(nèi)部和外部,并且大量員工和合作伙伴從不同地理位置通過各種設(shè)備來訪問應(yīng)用程序。”
Curran稱,簡而言之,“傳統(tǒng)的安全模型已不再適用”。
在本文中,Curran解釋了企業(yè)如何開始部署零信任模型,并探討零信任安全框架相關(guān)的挑戰(zhàn)。
企業(yè)應(yīng)該如何創(chuàng)建和更新零信任安全框架?
Kevin Curran:為了使零信任安全有效,這里需要新的方法,例如基于用戶和位置進行網(wǎng)絡(luò)分段或微分段。零信任要求部署身份和訪問管理、下一代防火墻、業(yè)務(wù)流程編排、多因素身份驗證(MFA)和文件系統(tǒng)權(quán)限。
企業(yè)可通過以下方式部署零信任安全框架:
1、更新網(wǎng)絡(luò)安全策略。應(yīng)定期檢查和審核安全策略中是否存在漏洞,并進行測試。
2、驗證每個登陸到網(wǎng)絡(luò)的設(shè)備。這通過強大的身份驗證機制強制執(zhí)行,對每個用戶采用最小特權(quán)原則也很重要。
3、部署網(wǎng)絡(luò)分段。各種網(wǎng)絡(luò)、外圍和微分段將幫助保護網(wǎng)絡(luò)。
4、多因素身份驗證。在身份驗證中,每個用戶都必須額外的身份驗證步驟。
5、定期檢查用戶訪問權(quán)限。這可防止受驗證用戶中出現(xiàn)授權(quán)過期的情況。
零信任安全模型有哪些挑戰(zhàn)?
Curran:這種零信任安全框架依賴于強大的管理流程,以保護企業(yè)IT環(huán)境的安全-這里存在很多挑戰(zhàn),因為在很多情況下,這迫使企業(yè)在整個企業(yè)中強制部署新流程,而這絕非易事。
另一個挑戰(zhàn)是,員工可能不會好心地承擔(dān)訪問計算機的額外負擔(dān),以及最低特權(quán)原則所強制的降低的訪問級別。
這里需要企業(yè)改變員工思維定勢,特別是對于經(jīng)驗豐富的員工。這里還需要在安全方面進行體制改革,同時需要在技術(shù)領(lǐng)域付出很多努力,例如推出微分段,這要求重新配置IP數(shù)據(jù)以確保在日常環(huán)境中不會出現(xiàn)中斷。這就是從一開始就應(yīng)該讓CISO、CIO和高級管理層參與進來以確保成功的原因。