什么是零信任体系结构？

随着网络威胁变得越来越复杂和无情，传统安全模型的有效性在降低。然而，企业可以通过遵循“任何实体都不应默认被信任”的理念，实施一种强大且适应性强的网络安全方法。

探索使零信任体系结构成为业务的基本框架的核心原则。

显式验证
零信任将每次访问业务资源的尝试视为来自开放网络的请求。ZTA 并不是在入口点一次性验证凭据，而是实时定期全面评估数据点，例如用户的身份、位置和设备，以识别潜在风险，并确保只有授权的用户和设备可以访问你的网络。

使用最低权限访问
ZTA 为每个用户提供执行其任务所需的最低访问权限。以这种方式限制访问权限有助于企业最小化被攻陷账户可能造成的损害。

假定泄露
零信任的前提是，安全漏洞是不可避免的。这种方法不仅专注于防止攻击，还主动预测网络攻击，假设企业中的用户、设备和系统已经被攻陷。

零信任从根本上改变了组织对网络安全的看法，确保每个访问请求都经过彻底审查，无论其来源如何，并主动限制风险。揭示使 ZTA 成为企业重要框架的关键组成部分。

身份和访问管理 (IAM)
零信任始终在授予资源访问权限之前验证用户和设备的真实性。具体而言，该框架使用 IAM 策略，例如多重身份验证、单一登录 (SSO) 和基于角色的访问控制，以帮助防止与身份相关的泄露。这些功能还可以通过简化登录流程和减少记忆多个密码的需要，改善员工的用户体验。

网络分段
ZTA 将网络划分为较小的独立段，从而限制潜在网络攻击的横向移动。每个段都充当安全区，帮助企业控制漏洞并防止网络威胁扩散到基础设施的其他部分。如果发生数据泄露，你的企业可以轻松地将其限制在特定区域内，并显著限制所造成的损害。

网络分段还使你的企业能够将定制的安全策略应用到网络的每个区域。例如，可以对包含敏感数据的段应用更严格的控制，而不太关键的段可以使用更宽松的策略。这种灵活性使你的企业能够优化其安全状况，而不会影响运营效率。

终结点安全性
零信任体系结构保护终结点设备—如笔记本电脑、智能手机和平板电脑—以防止恶意软件等网络威胁渗透你的网络。终结点安全性至关重要，因为这些设备通常被视为大型网络攻击的入口，可能导致破坏。ZTA 提供高级威胁检测和响应功能、全面加密和常规设备更新，以帮助维护业务运营的完整性。

数据安全性
零信任框架提供可靠的访问控制、端到端加密和数据掩码功能，可帮助防止数据泄露和未经授权访问敏感信息。使用此类有效的数据安全性措施，你的企业可以一致地遵守法规并保持客户信任。ZTA 还包含数据丢失防护 (DLP) 策略，可帮助防止业务数据泄露或被盗。

安全信息和事件管理 (SIEM)
ZTA 使用 SIEM 系统对业务应用程序和网络硬件生成的安全警报进行实时分析。这使你的企业能够迅速检测和响应潜在的网络威胁，以防止其造成伤害。

零信任体系结构中的 SIEM 系统还通过提供有关安全趋势和模式的有价值的见解，帮助你更好地了解威胁态势。通过分析历史数据，组织可以识别重复出现的问题，并采取措施主动解决。采用持续改进的过程对于你的企业保持领先于新兴网络威胁并维持强大的安全态势至关重要。

AI 功能
零信任将 AI 用于网络安全，以准确检测网络威胁并有效地对它们做出响应。AI 模型可以快速分析大量数据，使你的企业能够识别可能表示泄露或网络攻击的复杂模式和异常。零信任还为业务提供自动化功能，帮助安全团队节省时间并确定复杂网络威胁的优先级。请考虑实施 ZTA 来实现安全框架的现代化，缩短响应时间，并保持领先于不断演变的网络威胁。

零信任体系结构在数十年中不断发展，以应对传统安全模型的局限性和网络威胁日益复杂化的挑战。在 2000 年初，一组安全专家（称为 Jericho 论坛）开始倡导去边界化，即不分地点地使用多级安全措施。这一超越基于边界的安全控制的概念为我们今天所知的零信任模型奠定了基础。

探索零信任安全性发展的关键里程碑。
 

• 2010:分析师 John Kindervag 在 Forrester Research Group 的一篇论文中正式提出了术语“零信任”，强调需要验证每个访问请求，无论其来源于何处。
• 2017:Gartner 推出了持续自适应风险和信任评估 (CARTA) 框架，这是一种侧重于不断评估和适应风险的安全方法。
• 2020:美国国家标准与技术研究所 (NIST) 发布了特别出版物 800-207，定义了建立 ZTA 的一整套准则和最佳做法。
• 2022:美国政府要求在 2024 年之前为所有联邦机构采用零信任原则，强调零信任在现代网络安全中的重要性。

 

传统安全体系结构允许用户在工作时登录后访问整个公司网络。虽然这种方法保护了组织的边界，但它与物理办公室场所相关，不支持远程或混合工作。此外，传统安全框架使企业面临风险，因为如果有人窃取了密码，他们可以访问所有内容。

零信任网络体系结构通过定期对每个用户和设备进行身份验证来保护所有文件、电子邮件和数据，而不仅仅保护组织的边界。ZTA 还有助于保护远程访问、个人设备和第三方应用，以提供更大的灵活性、促进远程工作并支持自带设备 (BYOD) 业务模型。

零信任结合了各种身份验证、网络监视、加密和访问控制技术，以全面加强安全状况。

身份验证和授权
在访问资源之前，所有用户和设备都经过身份验证和授权。零信任网络访问 (ZTNA) 通常涉及多重身份验证和基于角色的访问控制。

网络监视和分析
网络流量和用户行为会被持续监控，以检测异常、可疑活动和潜在威胁。

端到端加密
整个业务中的业务数据受到保护，以确保即使数据被截获，也不会被未经授权的参与方读取。

访问控制机制
除了其他上下文因素（如位置和行为）外，对资源的访问权限还由用户和设备的标识决定。

由于现有 IT 环境的复杂性，转换到零信任模型可能是一个具有挑战的过程。例如，如果旧系统与新式安全措施不兼容，则很难将现有技术集成到新的零信任框架中。考虑投资于可互操作的解决方案或规划分阶段实施的方法，以克服这些 IT 相关的挑战。

遵循以下步骤和最佳实践，以在你的企业中采用零信任体系结构：

1. 创建强大的身份验证

开始验证对你的组织使用的每个应用、服务和资源的访问权限，从最敏感的内容开始。为管理员提供工具来评估风险并在标识出现警告信号时实时响应，例如登录尝试失败次数过多。

2. 管理对设备和网络的访问

确保所有终结点（无论是个人终结点还是公司终结点）都符合组织的安全要求。加密网络并确保所有连接都是安全的，包括远程和现场连接。对网络进行分段，以限制未经授权的访问。

3. 提高应用的可见性

“影子 IT”是员工使用的任何未经授权的应用程序或系统，它可能会带来网络威胁。调查已安装的应用，以便你可以设置权限、监视它们是否有任何危险迹象，并确保其合规性。

4. 设置数据权限

为你的组织的数据（包括文档、电子邮件等）分配分类级别。加密敏感数据并提供最低权限访问。

5. 监视基础结构

评估、更新和配置基础结构的每一个环节（如服务器和虚拟机）以限制不必要的访问。跟踪指标，以便轻松识别可疑行为。

各行业的企业正在实施零信任体系结构，以更有效地满足其独特和不断变化的安全需求。例如，跨国科技巨头西门子实施了零信任体系结构，以利用“永不信任，总是验证”的原则提升其安全态势。无论在哪个行业，组织都可以在各种用例中实现 ZTA，例如：
 

• 支持多个云环境。
• 应对网络钓鱼、被盗凭据或勒索软件。
• 为临时员工提供安全、限时的访问权限。
• 保护和监视对第三方应用的访问。
• 支持使用各种设备的一线工作人员。
• 保持符合监管要求。
  
  

然而，零信任还可以为你的企业提供针对特定行业的定制好处，包括：
 

• 金融。通过使用最低权限访问来增强安全状况，此外，还可持续监视网络中的行为，以便快速识别恶意活动并做出反应。
• 医疗保健。通过实施 MFA 来保护电子健康记录系统，并通过对网络进行分段来降低数据泄露的风险。
• 政府。通过加密数据和实施严格的访问控制来防止对机密信息的未经授权访问。 
• 零售。通过持续验证和上下文感知策略来保护客户数据并确保你的电子商务平台安全。
• 教育。保护个人设备、第三方应用和对数字学习环境的远程访问，以支持远程学习并提高灵活性。

 

在企业中采用零信任变得越来越重要。随着工作环境变得更加动态，网络威胁不断演变，组织必须验证每个访问请求，并实施全面的安全控制，以确保其整个网络受到保护。零信任解决方案在范围和规模上差异很大，以下是一些示例：

个人 可以启用多重身份验证 (MFA) 以在访问应用或网站之前获取一次性代码。你还可以开始使用指纹或面部等生物识别技术登录。

学校和社区可以使用密钥实现无密码，因为密码很容易丢失。它们还可以提高终结点安全性以支持远程工作和学校，以及在设备丢失或被盗时进行对访问进行分段。

组织可以通过识别所有接入点并实施更安全的访问策略来采用零信任体系结构。由于零信任是一种长期方法，因此组织应致力于持续监视以检测新威胁。

考虑为你的企业实施零信任解决方案。