零信任是一种关于保护敏感数据安全,同时确保遵守新隐私法规要求的 IT 安全方法。随着云技术服务的使用快速扩展,企业不可避免地面临着新的威胁,即特权管理员或应用的凭据破坏和失窃。此外,由于有效的安全控制方法一般只关注事后补救,伴随云技术服务而来的还有数据失窃和网络欺诈风险。对此,零信任支持企业在实施有效控制的同时,对系统、网络和数据访问进行管理。目前,越来越多的企业开始迁移到零信任(即不信任任何人)安全模型,通过安全控制(即按照特定策略来限制用户访问数据)来保护数据安全。
标准网络安全态势专注于阻止来自网络边界以外的威胁,但无法防范网络内部的盗窃行为。它通过防火墙、VPN、访问控制、IDS、IPS、SIEM 以及电子邮件网关实施安全保护。然而,网络罪犯现已熟知如何攻破这些边界安全措施。这意味着,只要拥有正确的凭据,任何人都可以访问任意网络的站点、应用或设备。而在零信任安全方法下,无论是来自网络内部还是外部,任何人都默认不被信任。零信任方法要求对请求访问资源的每一位用户进行验证,即验证用户身份,对系统、网络和数据访问进行监管。这一过程包括验证用户身份和用户对特定系统的访问权限,可帮助企业有效管理用户的数字身份,确保正确访问。为了加强验证,零信任方法还通过多层高级访问控制,对网络设备和服务器访问进行管理。最后,零信任方法支持企业跟踪用户活动,创建用户活动报告,实施适当的策略来确保合规。
以下是美国国家标准技术研究院 (NIST) 定义的零安全架构原则:
降低风险
“安全优先”设计原则可降低连续不断的威胁风险。同时,内置租户隔离和最小权限访问也有助于确保满足合规和隐私法规要求。通过适当的身份管理,企业可以更好地控制用户访问,降低内部和外部违规风险。
访问控制
零信任安全方法包括捕获用户信息、管理用户身份以及编排访问权限,可帮助企业更好地监管组织内用户对系统或网络的访问。
增强企业安全态势
增强竞争优势
通过从标准边界安全方法升级到零信任模型,企业可充分利用自动化、安全和治理技术增强整体竞争优势,提升业务敏捷性。
要想采用零信任安全模型,企业必须:
一个行之有效的零信任安全模型可提供:
- 隔离网络虚拟化
- 细粒度职责分离
- 最小权限访问
- 自动化威胁缓解和修复
- 默认启用、无处不在的加密
- 持续监视用户行为
- 具有上下文感知能力的自适应验证
注:为免疑义,本网页所用以下术语专指以下含义: