我们总是听闻企业发现由于过度依赖“安全”的网络边界,他们的安全性受到严重损害。一旦这个外部边界被攻破,内部系统就会变得欠缺保护,攻击者能够快速而轻松地部署自动数据提取工具和勒索软件,而这些攻击往往在很长一段时间内都不会被察觉。这使我们认为推荐 零信任架构 (ZTA)作为默认方案是一个明智之选。
ZTA是安全架构和策略的一个范式转变。它基于这样的假设:网络边界不再代表安全边界,同时不应仅仅根据用户或服务的物理或网络位置来予以盲目的信任。可用于实现ZTA各方面的资源、工具和平台的数量不断增加:包括基于最小特权与尽可能细化的原则,还有以持续监控与自动减轻威胁的方式执行安全策略即代码;通过运用服务网格去执行应用到服务与服务到服务的安全控制;通过实现二进制证文去验证二进制执行文件的来源;除了传统的加密方式之外,该架构还添加了安全隔离区去加强数据安全的三大支柱:数据在传输、存储和内存中的安全。关于该主题的介绍,请参考NIST ZTA的出版物和谷歌关于BeyondProd的白皮书。
企业中计算和数据的结构不断变化:从单一应用程序到微服务;从集中式数据湖到数据网格;从本地托管到聚合云。与此同时,随着连接设备的激增,保护企业资产的方法在很大程度上仍保持不变。凭借对网络外围的高度依赖和信任——通过加强企业虚拟墙,使用专用链路和防火墙配置,以及替换不再适用于当今现实的静态和繁琐的安全过程的方法,企业继续进行大量投资,以保护其资产。这种持续的趋势迫使我们再次强调“零信任架构”。
零信任架构是安全体系结构及策略的一种模式转变。它基于这样的假设:网络边界不再代表安全边界,不应仅基于物理或网络位置授予用户或服务隐式信任。用于实现零信任架构各个方面的资源,工具以及平台的数量持续增长,其中包括:以最小特权为基础,执行安全策略即代码,尽可能细化原则,并持续监控和自动缓解威胁;使用服务网格来实施应用到服务和服务到服务的安全控制;使用二进制鉴证以验证二进制文件的来源;除传统加密外,还包括安全区域,以强制实施数据安全性的三大支柱:传输,静态和内存。有关该主题的有用介绍,请参阅 NIST ZTA 刊物和有关 BeyondProd 的 Google 白皮书。
随着资产(数据、功能、基础架构和用户)跨越安全边界(本地主机,多云提供商以及各种SaaS供应商),组织的技术版图正在变得越来越复杂。这就要求企业安全计划和系统架构进行范式转变:从基于信任区和网络配置的静态、缓慢改变的安全策略,转变为基于临时访问权限的动态、细粒度的安全策略。
零信任架构(Zero trust architecture, ZTA)是组织针对其所有资产(设备、基础设施、服务、数据及用户)实施零信任安全原则的策略和流程,以及对最佳实践的践行(包括不论网络位置确保所有访问和通信的安全、强制基于最小权限原则并尽可能细粒度控制的策略即代码、持续监控和自动缓解威胁等)。技术雷达介绍了很多赋能技术,例如安全策略即代码,端点安全边车 和 BeyondCorp。如果准备进一步了解ZTA,请参阅 NIST ZTA 和 Google 在BeyondProd 上发表的文章,以了解更多关于原则、赋能技术组件及迁移模式的信息。
