零信任 (Zero Trust)是一种基于以下理念的网络安全策略:企业网络内外的任何人员或设备都必须在明确必要的情况下,才能获得连接到 IT 系统或工作负载的访问权限。简而言之,这意味着完全不存在隐性的信任。该解决方案将“信任,但也要验证”这一策略转变为了“永不信任,始终验证”。在零信任模式下,在验证身份和授权之前,不信任要访问资源的任何用户或设备。这种策略适用于通常在专用网络内的人员。
一、什么是零信任 (Zero Trust)
零信任 (Zero Trust)是一种基于以下理念的网络安全策略:企业网络内外的任何人员或设备都必须在明确必要的情况下,才能获得连接到 IT 系统或工作负载的访问权限。简而言之,这意味着完全不存在隐性的信任。
2010 年,Forrester Research 分析师 John Kindervag 提出了一种他称为“零信任”的解决方案。 该解决方案将“信任,但也要验证”这一策略转变为了“永不信任,始终验证”。在零信任模式下,在验证身份和授权之前,不信任要访问资源的任何用户或设备。这种策略适用于通常在专用网络内的人员,例如在家里通过公司计算机远程办公的员工,或者在世界各地参加会议时使用移动设备的员工,也适用于专用网络之外的每个人或每个端点。无论您之前是否访问过网络或是访问过多少次,处理方式都没有区别,您在每次访问时都需要验证身份,否则就无法获得信任。其理念是,除非经过验证,否则您应该假设每一个机器、用户和服务器都不可信。
在过去,城堡和护城河网络安全策略似乎切实可行,也曾一度盛行,而网络边界策略的概念是网络边界(或防御层)之外的所有人都是“坏人”,边界之内的所有人都是“好人”。在现实世界中,城堡和护城河已成历史;在网络世界中,城堡和护城河式安全策略也应当淘汰。想想远程办公的现状。如今的员工队伍和工作场所已经发生了变化,人们工作的时间、方式和地点均已经突破了办公室的限制。随着云的兴起,以往的网络边界不复存在。用户和应用程序有可能位于防御层之外,也有可能位于防御层之内,两种情况的可能性相当。这给边界带来了漏洞,而恶意攻击者可以利用这些漏洞发起攻击。
二、零信任的工作原理
可以这样来理解 零信任模型:就像一名警惕性极强的保安,即使认出了您,在允许您进入办公楼之前,也会有条不紊地反复检查您的证件,而且在您每次要进入办公楼时都会重复这套流程,持续验证您的身份。
零信任模式依赖于对每个设备和个人的高强度身份验证和授权,无论设备和个人是在网络边界之内还是之外,验证通过后才能在专用网络上进行任何访问或数据传输。该过程还会结合分析、筛查和记录来验证行为的正确性,以及持续监控入侵信号。如果用户或设备表现出不同以往的行为迹象,则会将其记录下来并视为疑似威胁进行监控。
这种策略上的基本转变有效抵御了许多常见安全威胁。攻击者无法再利用边界中的漏洞,然后通过进入防御层来滥用您的敏感数据和应用程序。现在没有护城河了。只有应用程序和用户,每个应用程序或每位用户在访问发生前均必须相互验证身份并验证授权。当两方同时相互验证时,就会发生“相互身份验证”,例如具有登录名和密码的用户,以及用户通过数字证书连接的应用程序。
三、零信任架构的优势
零信任架构可为用户无缝运行,减少攻击面,防御网络攻击并简化基础架构要求。零信任架构的不同组件可以:
1、帮助确保网络信任并阻止恶意攻击
IT 团队需要确保用户和设备可以安全连接到互联网(无论访问请求来自何处),并且无需面对与传统方法相关的复杂性。他们还需要主动识别、阻止和缓解目标威胁,例如恶意软件、勒索软件、网络钓鱼、DNS 数据泄露以及针对用户的高级零日漏洞。零信任安全可以改善安全状况,同时降低恶意软件的风险。
2、为员工和合作伙伴提供安全的应用程序访问
传统的访问技术(比如 VPN)依赖于过时的访问管理原则,特别容易因用户凭据被盗而产生漏洞。IT 部门需要重新考虑其访问模式和技术以确保业务安全,同时仍然要为所有用户(包括第三方用户)提供快速、简单的访问服务。通过精细的安全策略,零信任安全可以在降低风险和复杂性同时提供一致的用户体验。
3、降低复杂性,节省 IT 资源
企业访问和安全性是复杂且不断变化的。使用宝贵的资源对传统企业技术进行更改和部署通常需要数天时间(常会涉及许多硬件和软件组件)。零信任安全模式可以降低架构复杂性。
以上就是关于什么是零信任 、零信任的工作原理、零信任架构的优势的全部内容了,希望对你有所帮助。
