信息來源:51cto
傳統(tǒng)安全機(jī)制假定網(wǎng)絡(luò)內(nèi)的身份和設(shè)備可以被信任�����,而零信任安全模型則是基于:默認(rèn)情況下任何內(nèi)部或外部用戶或設(shè)備都不可信任�����。
這種零信任概念由Forrester Research于2010年首次提出��。在谷歌和思科部署零信任概念之后�����,這種身份驗證和授權(quán)方法開始逐漸普及���。
零信任是身份和訪問管理(IAM)中的關(guān)鍵概念,其結(jié)構(gòu)旨在限制黑客對企業(yè)網(wǎng)絡(luò)的訪問��。
愛爾蘭厄爾斯特大學(xué)電氣與電子工程師協(xié)會(IEEE)高級成員兼網(wǎng)絡(luò)安全教授Kevin Curran說:“對零信任安全模型的需求之所以出現(xiàn)�,部分原因在于企業(yè)不再傾向于在內(nèi)部托管數(shù)據(jù),而是通過各種平臺和服務(wù)來托管數(shù)據(jù)��,這些平臺和服務(wù)駐留在企業(yè)內(nèi)部和外部�����,并且大量員工和合作伙伴從不同地理位置通過各種設(shè)備來訪問應(yīng)用程序�。”
Curran稱�����,簡而言之,“傳統(tǒng)的安全模型已不再適用”��。
在本文中��,Curran解釋了企業(yè)如何開始部署零信任模型�,并探討零信任安全框架相關(guān)的挑戰(zhàn)。
企業(yè)應(yīng)該如何創(chuàng)建和更新零信任安全框架?
Kevin Curran:為了使零信任安全有效���,這里需要新的方法��,例如基于用戶和位置進(jìn)行網(wǎng)絡(luò)分段或微分段�。零信任要求部署身份和訪問管理���、下一代防火墻�����、業(yè)務(wù)流程編排�����、多因素身份驗證(MFA)和文件系統(tǒng)權(quán)限�����。
企業(yè)可通過以下方式部署零信任安全框架:
1��、更新網(wǎng)絡(luò)安全策略�。應(yīng)定期檢查和審核安全策略中是否存在漏洞,并進(jìn)行測試�����。
2�����、驗證每個登陸到網(wǎng)絡(luò)的設(shè)備�。這通過強(qiáng)大的身份驗證機(jī)制強(qiáng)制執(zhí)行�,對每個用戶采用最小特權(quán)原則也很重要。
3��、部署網(wǎng)絡(luò)分段���。各種網(wǎng)絡(luò)��、外圍和微分段將幫助保護(hù)網(wǎng)絡(luò)�。
4、多因素身份驗證���。在身份驗證中���,每個用戶都必須額外的身份驗證步驟。
5��、定期檢查用戶訪問權(quán)限���。這可防止受驗證用戶中出現(xiàn)授權(quán)過期的情況�。
零信任安全模型有哪些挑戰(zhàn)?
Curran:這種零信任安全框架依賴于強(qiáng)大的管理流程�,以保護(hù)企業(yè)IT環(huán)境的安全-這里存在很多挑戰(zhàn),因為在很多情況下�����,這迫使企業(yè)在整個企業(yè)中強(qiáng)制部署新流程�����,而這絕非易事�。
另一個挑戰(zhàn)是,員工可能不會好心地承擔(dān)訪問計算機(jī)的額外負(fù)擔(dān)���,以及最低特權(quán)原則所強(qiáng)制的降低的訪問級別�。
這里需要企業(yè)改變員工思維定勢,特別是對于經(jīng)驗豐富的員工���。這里還需要在安全方面進(jìn)行體制改革�����,同時需要在技術(shù)領(lǐng)域付出很多努力�����,例如推出微分段���,這要求重新配置IP數(shù)據(jù)以確保在日常環(huán)境中不會出現(xiàn)中斷�����。這就是從一開始就應(yīng)該讓CISO���、CIO和高級管理層參與進(jìn)來以確保成功的原因�����。
