Master
零信任架构

零信任是一个安全概念,其中访问系统(内部和外部)需要认证。

在零信任架构下,组织不应自动信任其周界内外的任何事物,而必须在授权访问之前验证试图连接到每个系统的任何事物。

 

“零信任”是一种网络架构,旨在应对传统网络周界正在消失的事实,以及处理传统防御的价值。

它是什么?

一种设计系统的方法,其中访问取决于认证。

有何益处?

减少了数据泄露时发生中断的可能性。

需考量的因素?

许多现有的安全团队对转向“零信任”感到不安;某些将缺乏必要的技能。

如何应用?

谷歌和 CloudFlare 等大型互联网公司已经建立了零信任架构。它开始在比较传统的企业中发展。

它是什么?


采用零信任架构的关键是,从内部网络中移除固有信任。简单地说,因为人连接至网络并不意味着您应该能够访问该网络上的所有内容。


观察到攻击者访问网络,然后通过系统其余部分移动是常见的入侵行为,因为从网络上的那个点开始,一切都是可信的。如果您从网络中移除信任,您必须对用户、设备和服务有信心。要实现这一点,您必须建立对用户身份(通过认证)、设备健康及其访问的服务(授权)的信任。


为使零信任有效,与服务相连的每个人都经过认证,并且设备、用户和连接就规则和策略获得授权。这些策略评估您对用户及其设备的信心,无论连接请求来自何处,相应地授予资源访问权限。

有何益处?


零信任架构有两个主要优点。


首先,如果我们假设黑客入侵是我们大多数人尚未面对的现实,那么将破坏的冲击效应限制在最小的可能攻击面至关重要。当我们放弃了强周界和可信内部的想法时,这种情况就会发生。因此,您可以尽量减少对组织的干扰。


其次,随着世界开始采用分布式云系统和边缘计算,“拥有保护周界”的观念逐渐消失。零信任架构提供了一种使您能够在这个新世界中安全运行的机制。

需考量的因素?


这是一些令安全专业人员感到不舒服的方法变更。该工作现在需要软件组件安全知识和更复杂的策略,而不是决策和产品选取。

如何应用?


谷歌和其他采用 BeyondCorp 模型的公司,以及Cloudflare 等公司正使用这种方法,在其整个组织中建立敏捷、安全的分区和区域,并为其他公司提供示范。


部分政府和公共服务组织也在使用零信任架构。

想要获取更多内容?

Would you like to suggest a topic to be decoded?

Just leave your email address and we'll be in touch the moment it's ready.