零信任是一个安全概念,其中访问系统(内部和外部)需要认证。
在零信任架构下,组织不应自动信任其周界内外的任何事物,而必须在授权访问之前验证试图连接到每个系统的任何事物。
“零信任”是一种网络架构,旨在应对传统网络周界正在消失的事实,以及处理传统防御的价值。
它是什么?
采用零信任架构的关键是,从内部网络中移除固有信任。简单地说,因为人连接至网络并不意味着您应该能够访问该网络上的所有内容。
观察到攻击者访问网络,然后通过系统其余部分移动是常见的入侵行为,因为从网络上的那个点开始,一切都是可信的。如果您从网络中移除信任,您必须对用户、设备和服务有信心。要实现这一点,您必须建立对用户身份(通过认证)、设备健康及其访问的服务(授权)的信任。
为使零信任有效,与服务相连的每个人都经过认证,并且设备、用户和连接就规则和策略获得授权。这些策略评估您对用户及其设备的信心,无论连接请求来自何处,相应地授予资源访问权限。
有何益处?
零信任架构有两个主要优点。
首先,如果我们假设黑客入侵是我们大多数人尚未面对的现实,那么将破坏的冲击效应限制在最小的可能攻击面至关重要。当我们放弃了强周界和可信内部的想法时,这种情况就会发生。因此,您可以尽量减少对组织的干扰。
其次,随着世界开始采用分布式云系统和边缘计算,“拥有保护周界”的观念逐渐消失。零信任架构提供了一种使您能够在这个新世界中安全运行的机制。
需考量的因素?
这是一些令安全专业人员感到不舒服的方法变更。该工作现在需要软件组件安全知识和更复杂的策略,而不是决策和产品选取。
如何应用?
谷歌和其他采用 BeyondCorp 模型的公司,以及Cloudflare 等公司正使用这种方法,在其整个组织中建立敏捷、安全的分区和区域,并为其他公司提供示范。
部分政府和公共服务组织也在使用零信任架构。
Would you like to suggest a topic to be decoded?
Just leave your email address and we'll be in touch the moment it's ready.