技术主题

什么是零信任?

以问号为重点的信息技术项目图示

概述

零信任是一种安全概念,它采取主动的方法,不断验证设备、服务和个人,而不是信任它们。零信任模式的运作基于公司的假设,即连接到其系统的一切都需要验证,无论它是来自组织内部还是外部的某个人或某件事。

传统的网络安全侧重于限制对网络外身份的访问,而零信任安全则涉及对所有身份的持续监控,以验证访问和权限。归根结底,零信任安全是企业数字化转型的重要组成部分,旨在增强企业的网络弹性安全。

随着黑客技术的日益成熟,安全性也需要不断调整和改进。零信任就是这样一种演变,它通过持续监控,在黑客入侵网络时提供额外的安全保护。

零信任状况报告

阅读关于身份驱动零信任的最新调查结果。

阅读报告

零信任

零信任安全模式的关键组成部分

那么,究竟什么是零信任网络呢?简单地说,它是一种基于以下理念运行的网络:由于在网络内外都能找到攻击者,因此任何身份都不应被自动授予访问权限。

虽然每个零信任网络可能各不相同,但零信任有几个重要的关键组成部分:

多因素身份验证 (MFA)

作为一种常见的安全功能,多因素身份验证(MFA)要求在授予访问权限之前通过多种方式确认身份。这种确认可能包括安全问题、电子邮件确认、短信等。

实时监控

实时监控可对网络进行持续评估,以检测入侵者,并限制系统被入侵后可能造成的破坏。

当预防措施失效时,实时监控对于减轻损失至关重要。它可以让网络提高 "突破时间","突破时间 "是指黑客侵入设备后,可以转移到其他系统和设备的时间。

微分割

当系统被入侵时,零信任的另一个重要方面就是微分段。这种技术包括在网络的每个部分创建小段。

通过在整个网络中创建几个不同的边界,黑客就无法访问已被入侵的微小区段以外的网络。

信任区和审核默认访问控制

作为TIC 3.0的一部分,网络可划分为安全区或信任区,允许用户在区内共享数据。这还有助于防止入侵者获取更多数据。

当然,信任区只有在所有访问系统和信任区的请求都经过加密和授权的情况下才会有效,这也是默认访问的一部分。

实施零信任的挑战

零信任架构无疑可以提高公司的安全性,但在实施这一安全概念时也会遇到一些挑战。以下是一些公司在转向零信任时可能面临的几个问题:

传统应用程序

一些基本应用程序(如人力资源系统)是企业日常运作所必需的,但通常被排除在零信任安全模式之外。已有的旧系统往往无法受到验证系统的保护。

因此,传统应用程序可能会成为安全系统中的薄弱环节,削弱转向零信任的优势。在采用零信任解决方案时,可能需要替换或重新设计传统应用程序,这可能会增加过渡的成本。

需要高度的承诺

需要定期监控和更新默认控制和可访问性。这包括当用户转任新角色并需要访问网络的不同部分时。

公司需要全面了解所有身份和安全要求,并立即更新变化。任何延迟更新控制措施的行为都可能导致敏感数据被第三方窃取。

合规与法规

在需要接受审计的行业中,一些公司如果无法提供可访问的数据,可能难以证明其合规性。有关零信任的法规变化缓慢,但这只是时间问题。

虽然向零信任过渡肯定会遇到一些挑战,但对于任何高度重视安全的公司来说,进行过渡并确保数据安全都是明智之举。

如何实施零信任架构

现在,您已经确切地知道了什么是零信任安全,并了解了这种强大的数据保护方法的好处,是时候了解一下如何实施零信任,并避免上述的一些挑战了。

使其具有组织性

在准备实施零信任时,让所有 C 级高管参与进来非常重要。这将有助于他们充分告知自己的团队,并就过渡时期应优先考虑哪些网络片段展开讨论。

向零信任过渡是一个持续的过程,所有用户都需要了解这一事实。了解正在发生的变化可以帮助所有用户迅速做出改变,避免工作流程中断。

彻底评估系统

识别敏感数据和系统,注意当前基础设施中的安全漏洞。锁定最有价值的资产,为其提供零信任架构中最安全的位置。

在地图上标出重要数据的位置,以及哪些用户需要能够访问这些数据。注意数据和资产的共享方式,确保实施微分段后的兼容性。

让零信任成为整体数字化转型的一部分

随着公司向云计算和物联网的转移,他们也可以转向零信任。这样做将为生态系统提供更高的安全级别,甚至在过渡过程中涵盖传统技术。

我们能提供什么帮助?

脚注