世界在不断变化,我们彼此之间以及与设备的交互也发生了变化。企业不再拥有对封闭网络的控制权。
新冠病毒大流行使人们从办公室工作转向远程工作,企业增加了对支持各种设备和网络的云平台的使用,而不良行为者也在利用这种动荡大肆增加对账户的渗透。
传统安全解决方案无法支持零信任网络。传统安全在解决云安全问题方面的能力有限,因为传统安全依赖的是,假设所有应用程序都从同一网络位置交付,并且所有用户都从同一企业入口点访问这些应用程序的封闭边界安全模型。
当我们拥有零信任安全时,我们可以在我们同事选择使用的任何设备上把安全保护提供给任何地方。我们可以通过将访问管理作为零信任架构的核心来进一步加强安全,从而创建一个零信任扩展生态系统。构建在访问管理之上的零信任架构在设备层面及应用程序层面进行检查——无论是什么设备和网络,也无论用户从应用程序到应用程序跳了多少次。
威胁会蔓延到哪里我们不得而知,因此零信任技术会有多种不同的安全级别供你选择,方便你在零信任策略中接受特定风险级别。
零信任安全模型把验证转移到访问点进行,并且不信任任何人、设备或实体。
当以访问管理为核心的零信任策略为创建零信任扩展生态系统而建立零信任架构时,你将获得持续的身份验证,而这将使你得以在用户从一个应用程序跳到另一应用程序时检查他们的身份。
与零信任方法恰成对照的是,VPN模型只在VPN的入口点验证用户一次,并且用静态安全方法授权用户访问VPN边界内的所有内容,直到用户离开VPN。
企业正在处在一个动荡不定、复杂模糊的世界,而网络安全的零信任模型可以使企业扩大安全范围,从而在一片混沌之中继续安全开展业务。
数据泄露会让你在声誉、回头生意和政府处罚方面付出高昂代价。建立零信任网络可以降低数据泄露的风险并保护云中的应用程序和数据。
当用户访问业务数据和/或服务时,他们会把公司暴露在威胁之下——即便用户在VPN环境下操作也是如此。零信任安全框架把用户的访问权限制为用户得到批准可以访问的部分,而不是VPN内的全部内容,从而最大限度地减少了企业网络中的漏洞。
与此同时,应用程序已经可以从传统企业数据中心以外的云端交付,并且大多数用户如今都在办公楼既定安全边界以外远程工作。
新冠病毒大流行产生了极大的破坏性,用户可能会分心而不太注意安全。零信任安全提供了一个安全网来维持高水平的安全性,而无需依赖物理位置来验证用户是否得到授权可以访问应用程序和数据库。
用户希望能在自己选用的任何设备上随时随地访问所有内容。用户关注的是便利性,而不是满足GDPR、CCPA、PCI DSS、HIPAA等法规的要求——但是公司必须遵从法规,否则就会面临严厉处罚。零信任框架既给用户完成工作带来了方便,同时还降低了企业风险。
零信任安全已成为被广泛接受一种安全模型,它所基于的原则是“无人可信,随处验证”——即任何实体都是不可信任的。当应用程序被从多个云和交付点交付时,身份验证起着关键作用,因为访问点成为安全的前线。访问点是指用户访问企业信息/应用的入口。
身份验证通常通过用户名和口令执行。但是,用户名和口令的组合很容易被人破解。
多因子身份验证(MFA)是零信任策略中的一个常见元素,用于在允许访问企业信息/应用程序之前验证用户的身份。
为实现其目标,零信任访问受以下基本原则约束:
l 对公司资源的访问由一项动态策略决定,该动态策略针对每个会话强制执行,并根据收集到的有关客户端身份、应用程序/服务和被请求资产的当前状态(包括其他行为和环境属性)的信息不断更新。
l 与资源的所有通信都必须经过身份验证、得到授权和被加密。
l 身份验证和授权与底层网络无关。
l 企业监控和测量所有自有和相关资产的完整性和安全态势。
