零信任是什么？为什么说“零信任”将成为网络安全流行框架之一【鹏越

wyb880122
0 ℃
2020-12-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

零信任是什么？为什么说“零信任”将成为网络安全流行框架之一【鹏越·安全】零信任是什么？为什么说“零信任”将成为网络安全流行框架之一，零信任网络(亦称零信任架构)模型是约翰·金德维格(JohnKindervag)于2010年创建的，当时他还是研究机构Forrester的首席分析师。如今7年过去了，随着零信任的支撑技术逐渐成为主流，随着防护企业系统及数据安全的压力越来越大，随着网络攻击演变得更加复杂高端，零信任模型也在CIO、CISO和其他企业高管中间愈加流行了。Forrester认为，3年内零信任就将成为网络安全流行框架之一。零信任是什么？为什么说“零信任”将成为网络安全流行框架之一零信任是什么零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。简言之，零信任的策略就是不相信任何人。除非网络明确知道接入者的身份，否则任谁都别想进入。什么IP地址、主机之类的，不知道用户身份或者不清楚授权途径的，统统不放进来。为什么要用零信任?可以看看下面一组统计数据：美国网络安全公司CybersecurityVentures发布的《2017年度网络犯罪报告》预测，到2021年，网络犯罪所致全球经济损失总额将达6万亿美元/年，比2015年的3万亿美元足足翻了一倍。同时，波耐蒙研究所在IBM资助下所做的《2017数据泄露研究》发现，数据泄露事件所致平均损失为362万美元。尽管该数字比上一年有所下降，但数据泄露事件的平均规模却上升了1.8%，达到了平均每起事件泄露2.4万条记录之多。而且，这些数据还是在公司企业对网络安全工作投入越来越多的情况下取得的。科技研究与咨询公司Gartner将2017年全球信息安全产品及服务开支标定在864亿美元上，比2016年增长了7%。这家公司还预计，到2018年，信息安全开支会达到930亿美元。企业高管们认识到了现有安全方法并不足以应对愈趋严峻的安全态势，他们需要更好的东西，而零信任模型恰好就能得到最好的结果。为新世界而生的安全零信任模型基本上打破了旧式边界防护思维。旧有思维专注防御边界，假定已经在边界内的任何事物都不会造成威胁，因而边界内部事物基本畅通无阻，全都拥有访问权限。但安全专家和技术专家并不认同边界防御的效果。他们指出，最严重的几起数据泄露事件都是因为黑客进入公司防火墙之后基本没遇到什么阻碍就能在内部系统中来去自如。IT系统的一个固有问题在于，太多东西可以经由默认连接四处巡游。人们的信任太过宽泛，这是互联网得以腾飞的原因所在，因为每个人都可以在任何时间共享任意东西。但这也是互联网安全的症结所在：如果你信任所有东西，你就没机会保住任何东西的安全。黑客和恶意威胁并非驱动零信任模型的唯一因素。今天的企业IT部门为什么需要新安全思维?很大程度上是因为边界已经不存在了。纯内部系统组成的企业数据中心不再存在，企业应用一部分在办公楼里，一部分在云端——分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应用。所有这些宏观变化都推动了零信任这一新模型的流行。面对工作流的移动化和云端化，我们难免扪心自问：“新形势下我们该如何保护自身安全呢?”新世界里，防火墙已经逼近到了需要保护的资产身边。零信任背后的技术在各种各样的现有技术和监管过程支撑之下，零信任方法才得以完成保护企业IT环境的使命。它需要企业根据用户、用户所处位置和其他数据等条件，利用微分隔和细粒度边界规则，来确定是否信任请求企业特定范围访问权的用户/主机/应用。首先，要弄清楚用户身份，确保用户真的是他/她所声称的那个人;然后，要保证用户所用终端是安全终端，或者该终端处在安全状态;最后，还要有个条件策略，指定哪些人能访问哪些东西。零信任依靠多因子身份认证、身份与访问管理(IAM)、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。最小权限原则也是零信任倚赖的监管策略之一，也就是只赋予用户完成特定工作所需的最小访问权限。基本上，零信任就是公司企业收回安全战场控制权，在各部门应用网络分隔和下一代防火墙，控制网络接入的身份、对象、地点和时间，是从内而外地施行控制，而不是由外而内。现今的大部分IT场景中，零信任不仅仅是技术，还有关思维和过程。如何实现零信任部分企业的IT部门已经实现了零信任的很多方面。他们通常已经部署了多因子身份验证、IAM和权限管理。其环境中也越来越多地实现了微分隔。然而，建立零信任环境不仅仅是实现这些单个技术，而是应用这些技术来施行“无法证明可被信任即无法获得权限”的理念。企业得从战略上确定哪些技术有助实现这一理念，然后再去买入这些技术。在技术的应用上最忌讳病急乱投医，与其期待乱买来的药能治好病，不如先好好诊断诊断，弄清楚自身情况再采用相应的技术(药)。转向零信任模型不是一朝一夕之功，也不是件容易的事儿，尤其是在有不适应该新模型的遗留系统的时候。很多公司都在向云端迁移，这是个全新的环境，很适合应用零信任模型，可以从云端开始零信任旅程。公司企业，尤其是有着复杂IT环境和大量遗留系统的大型企业，应将零信任迁移看做是多阶段跨年度的一项工程。零信任迁移中的另一项挑战零信任迁移中的另一项挑战，是让员工具备该新理念的思维方式。