世界在不斷變化,我們彼此之間以及與設備的交互也發生了變化。企業不再擁有對封閉網絡的控制權。
新冠病毒大流行使人們從辦公室工作轉向遠程工作,企業增加了對支持各種設備和網絡的云平臺的使用,而不良行為者也在利用這種動蕩大肆增加對賬戶的滲透。
傳統安全解決方案無法支持零信任網絡。傳統安全在解決云安全問題方面的能力有限,因為傳統安全依賴的是,假設所有應用程序都從同一網絡位置交付,并且所有用戶都從同一企業入口點訪問這些應用程序的封閉邊界安全模型。
當我們擁有零信任安全時,我們可以在我們同事選擇使用的任何設備上把安全保護提供給任何地方。我們可以通過將訪問管理作為零信任架構的核心來進一步加強安全,從而創建一個零信任擴展生態系統。構建在訪問管理之上的零信任架構在設備層面及應用程序層面進行檢查——無論是什么設備和網絡,也無論用戶從應用程序到應用程序跳了多少次。
威脅會蔓延到哪里我們不得而知,因此零信任技術會有多種不同的安全級別供你選擇,方便你在零信任策略中接受特定風險級別。
零信任安全模型把驗證轉移到訪問點進行,并且不信任任何人、設備或實體。
當以訪問管理為核心的零信任策略為創建零信任擴展生態系統而建立零信任架構時,你將獲得持續的身份驗證,而這將使你得以在用戶從一個應用程序跳到另一應用程序時檢查他們的身份。
與零信任方法恰成對照的是,VPN模型只在VPN的入口點驗證用戶一次,并且用靜態安全方法授權用戶訪問VPN邊界內的所有內容,直到用戶離開VPN。
企業正在處在一個動蕩不定、復雜模糊的世界,而網絡安全的零信任模型可以使企業擴大安全范圍,從而在一片混沌之中繼續安全開展業務。
數據泄露會讓你在聲譽、回頭生意和政府處罰方面付出高昂代價。建立零信任網絡可以降低數據泄露的風險并保護云中的應用程序和數據。
當用戶訪問業務數據和/或服務時,他們會把公司暴露在威脅之下——即便用戶在VPN環境下操作也是如此。零信任安全框架把用戶的訪問權限制為用戶得到批準可以訪問的部分,而不是VPN內的全部內容,從而最大限度地減少了企業網絡中的漏洞。
與此同時,應用程序已經可以從傳統企業數據中心以外的云端交付,并且大多數用戶如今都在辦公樓既定安全邊界以外遠程工作。
新冠病毒大流行產生了極大的破壞性,用戶可能會分心而不太注意安全。零信任安全提供了一個安全網來維持高水平的安全性,而無需依賴物理位置來驗證用戶是否得到授權可以訪問應用程序和數據庫。
用戶希望能在自己選用的任何設備上隨時隨地訪問所有內容。用戶關注的是便利性,而不是滿足GDPR、CCPA、PCI DSS、HIPAA等法規的要求——但是公司必須遵從法規,否則就會面臨嚴厲處罰。零信任框架既給用戶完成工作帶來了方便,同時還降低了企業風險。
零信任安全已成為被廣泛接受一種安全模型,它所基于的原則是“無人可信,隨處驗證”——即任何實體都是不可信任的。當應用程序被從多個云和交付點交付時,身份驗證起著關鍵作用,因為訪問點成為安全的前線。訪問點是指用戶訪問企業信息/應用的入口。
身份驗證通常通過用戶名和口令執行。但是,用戶名和口令的組合很容易被人破解。
多因子身份驗證(MFA)是零信任策略中的一個常見元素,用于在允許訪問企業信息/應用程序之前驗證用戶的身份。
為實現其目標,零信任訪問受以下基本原則約束:
l? 對公司資源的訪問由一項動態策略決定,該動態策略針對每個會話強制執行,并根據收集到的有關客戶端身份、應用程序/服務和被請求資產的當前狀態(包括其他行為和環境屬性)的信息不斷更新。
l? 與資源的所有通信都必須經過身份驗證、得到授權和被加密。
l? 身份驗證和授權與底層網絡無關。
l? 企業監控和測量所有自有和相關資產的完整性和安全態勢。