零信任“从不相信,总是验证。”的格言被网络安全界奉为圭臬。这种开创性的观点基于风险是网络内外的固有因素的假设。对此,昆明亭长朗然科技有限公司网络安全观察员董志军表示:这种假设在某些环境下是适用的,比如大型机构、分布式机构、以及拥抱云计算的机构。然而,也有一些对此嗤之以鼻的批评之声,认为这是网络安全服务商在为当下的防御架构、技术或产品的不行找一个台阶。于是网络安全思想家约翰·金德瓦格脑洞大开,发明了一个新词汇,于是“零信任”架构横空出世。
不管如何,一个新的概念总是先提出,然后再进行可行性验证。“零信任”安全亦是如此。那么,什么是零信任?零信任是一个安全框架,要求所有用户,无论是在组织网络内部还是外部,在被授予或保留对应用程序和数据的访问权限之前,都必须对安全配置和状态进行身份验证、授权和持续验证。零信任假设没有传统的网络边缘;网络可以是本地的、在云中的,也可以是与任何位置的资源以及任何位置的工作人员的组合或混合。
这种概念性的东西,其实天然被用户所唾弃,当用户说:“关我屁事儿?”时,网络安全专家也只能干瞪眼。其实我们选择这个主题,也难免想到用户的感受。不过,在当下向虚拟化和云计算环境大迁移的背景下,零信任已经变得非常重要。然而,零信任并非时刻能辨识出网络风险,以及正确识别出用户的身份。要想实施零信任,就得上系统,要让系统生效,就得与用户互动,所谓“对用户的影响最小”无疑就是一句理想化的安全口号了。
零信任是组织控制对其网络、应用程序和数据的访问的最有效方法之一。它结合了广泛的预防技术,包括身份验证和行为分析、微分段、端点安全和最低权限控制,以阻止潜在的攻击者并在发生违规时限制他们的访问。仅建立防火墙规则并通过数据包分析进行阻止是不够的,仍应针对它尝试访问的每个后续会话或端点评估在网络外围设备上通过身份验证协议的受损帐户。
随着组织增加其网络中的端点数量并扩展其基础设施以包括基于云的应用程序和服务器,这一额外的安全层至关重要——更不用说微型站点和其他本地、虚拟机或通过软件即服务。这些趋势使得建立、监控和维护安全边界变得更加困难。此外,无边界安全策略对于拥有全球员工并为员工提供远程工作能力的组织至关重要。通过按身份、组和功能对网络进行分段并控制用户访问,零信任安全可帮助组织遏制漏洞并将潜在损害降至最低。这是一项重要的安全措施,因为一些最复杂的攻击是由流氓凭证(内部或已泄露)精心策划的。
总之,零信任或是在传统的安全架构上,多一层(重)的安全防护,或是整合优化传统的安全防护架构。不论如何,如果无法做到对用户“透明”,那么必须“扰民”,就必须获得用户的理解和支持。无论IT安全专员要为用户增加什么安全装置、软件或过程,都免不了要让用户理解,都免不了安全方面的沟通与培训。否则,不要说是零信任,就是防火墙、防病毒软件都安装不成功。
如下,我们向您分享一张电子宣传图片。为了帮助客户提升用户们和IT人员们的信息安全意识,昆明亭长朗然科技有限公司制作了大量的安全宣教素材,如果您有兴趣,在保留我司LOGO及字号的情况下,可以免费在组织机构内部使用。需要印刷品使用的也欢迎联系我们,以免费或者以付费的方式获取高清版PSD源文件。当然,如果您需要为关键岗位人员提供更深的安全意识知识内容,也欢迎联系我们,索取作品清单并洽谈采购事宜。