那么,究竟什么是零信任网络呢?简单地说,它是一种基于以下理念运行的网络:由于在网络内外都能找到攻击者,因此任何身份都不应被自动授予访问权限。
虽然每个零信任网络可能各不相同,但零信任有几个重要的关键组成部分:
多因素身份验证 (MFA)
作为一种常见的安全功能,多因素身份验证(MFA)要求在授予访问权限之前通过多种方式确认身份。这种确认可能包括安全问题、电子邮件确认、短信等。
实时监控
实时监控可对网络进行持续评估,以检测入侵者,并限制系统被入侵后可能造成的破坏。
当预防措施失效时,实时监控对于减轻损失至关重要。它可以让网络提高 "突破时间","突破时间 "是指黑客侵入设备后,可以转移到其他系统和设备的时间。
微分割
当系统被入侵时,零信任的另一个重要方面就是微分段。这种技术包括在网络的每个部分创建小段。
通过在整个网络中创建几个不同的边界,黑客就无法访问已被入侵的微小区段以外的网络。
信任区和审核默认访问控制
作为TIC 3.0的一部分,网络可划分为安全区或信任区,允许用户在区内共享数据。这还有助于防止入侵者获取更多数据。
当然,信任区只有在所有访问系统和信任区的请求都经过加密和授权的情况下才会有效,这也是默认访问的一部分。
零信任架构无疑可以提高公司的安全性,但在实施这一安全概念时也会遇到一些挑战。以下是一些公司在转向零信任时可能面临的几个问题:
传统应用程序
一些基本应用程序(如人力资源系统)是企业日常运作所必需的,但通常被排除在零信任安全模式之外。已有的旧系统往往无法受到验证系统的保护。
因此,传统应用程序可能会成为安全系统中的薄弱环节,削弱转向零信任的优势。在采用零信任解决方案时,可能需要替换或重新设计传统应用程序,这可能会增加过渡的成本。
需要高度的承诺
需要定期监控和更新默认控制和可访问性。这包括当用户转任新角色并需要访问网络的不同部分时。
公司需要全面了解所有身份和安全要求,并立即更新变化。任何延迟更新控制措施的行为都可能导致敏感数据被第三方窃取。
合规与法规
在需要接受审计的行业中,一些公司如果无法提供可访问的数据,可能难以证明其合规性。有关零信任的法规变化缓慢,但这只是时间问题。
虽然向零信任过渡肯定会遇到一些挑战,但对于任何高度重视安全的公司来说,进行过渡并确保数据安全都是明智之举。
现在,您已经确切地知道了什么是零信任安全,并了解了这种强大的数据保护方法的好处,是时候了解一下如何实施零信任,并避免上述的一些挑战了。
使其具有组织性
在准备实施零信任时,让所有 C 级高管参与进来非常重要。这将有助于他们充分告知自己的团队,并就过渡时期应优先考虑哪些网络片段展开讨论。
向零信任过渡是一个持续的过程,所有用户都需要了解这一事实。了解正在发生的变化可以帮助所有用户迅速做出改变,避免工作流程中断。
彻底评估系统
识别敏感数据和系统,注意当前基础设施中的安全漏洞。锁定最有价值的资产,为其提供零信任架构中最安全的位置。
在地图上标出重要数据的位置,以及哪些用户需要能够访问这些数据。注意数据和资产的共享方式,确保实施微分段后的兼容性。
随着公司向云计算和物联网的转移,他们也可以转向零信任。这样做将为生态系统提供更高的安全级别,甚至在过渡过程中涵盖传统技术。
启用无密码和多因素身份验证,提供简单的全组织保护
在移动、云和传统平台上实现单点登录和访问控制
在整个 IT 环境中集中控制管理员账户
以最少的摩擦向正确的用户提供正确的访问权限