什么是零信任
零信任网络架构 (ZTNA) 或零信任安全是一种新的组织网络安全方法。它旨在修复传统基于边界的安全性中的缺陷并简化网络设计。
它以“永不信任,始终验证”的原则运作。这意味着,无论用户或设备位于何处,也无论他们以前是否访问过资源,都需要在再次获得访问权限之前对其进行验证和身份验证。
零信任与传统安全形式有什么不同
传统安全形式
传统的安全形式称为基于边界的安全性,这是因为它们依赖于防火墙、VPN 等,在其网络周围创建外围。传统上,当每个人都独自在办公室工作时,这种安全性似乎已经足够了。
但是,这些安全模型不足以考虑向云解决方案和混合工作场所迁移所带来的风险。此外,基于凭据的攻击和恶意内部人员可以轻松绕过防火墙和VPN,并在网络中造成严重破坏。
零信任安全方法
零信任安全方法旨在通过将防御重点放在标识、资产和资源而不是网络边界上来解决此问题。目标是防止对组织资源的未授权访问,同时使访问控制尽可能精细。
这是通过强制执行以下内容来完成的:
- 显式验证:在授予访问权限之前,每个请求都会经过显式验证,无论其来源点如何。
- 最小特权原则:每个用户仅获得执行其工作所需的最低访问权限级别。
- 实时特权提升:需要访问敏感资源的用户在进行额外验证后会立即获得访问权限。
- 持续监测:持续监控用户的活动,使安全团队能够立即检测可疑行为并采取行动。
- 安全自动化:安全响应是自动化的,以确保在发生严重损害之前可以立即采取行动。
- 动态访问:可以根据安全和监视工具的建议限制或撤销用户的访问权限。
这确保了即使外人进入您的网络,他们也无法造成太大的损害,零信任用例不仅限于预防和缓解网络攻击,这种方法还可以简化访问控制和网络设计等。
零信任安全的关键原则
在实施零信任安全时,需要牢记以下三个原则:
- 从不信任,始终验证:在授权用户或资产之前,每次都会根据所有可用的数据点验证每个请求。不要隐含地相信任何人或任何事。
- 最小特权原则:使用最低特权和实时特权提升来确保您的用户和资产仅具有足够的访问权限来完成其工作,而不是更多。
- 假设违规:假设企业的网络遭到破坏。计划限制外部和内部攻击造成的损害,并实施分析和安全解决方案来检测和响应威胁。
为什么需要采用零信任安全模型
- 零信任安全性补充并增强了传统的基于边界的安全性。
- 它有助于保护组织免受传统安全方法无法防御的威胁,例如基于凭据的攻击和恶意内部人员。
零信任安全性还可以帮助组织及其员工:
- 随时随地工作:使组织的员工能够随时随地工作,而不会影响组织安全性。
- 降低组织风险:降低内部威胁、横向移动和基于凭据的攻击带来的风险。
- 防止数据泄露:加强组织的安全态势,以最大程度地减少数据泄露的机会和潜在损害。
- 保持合规:确保遵守各种政府和行业特定的法规和要求。
如何在组织中实现零信任安全性
- 若要实现零信任安全性,需要确保从不信任,并始终验证访问公司资产的任何用户、设备或应用程序。
- 若要有效地实现此目的,需要具有涵盖零信任所有五个支柱(标识、数据、设备、应用程序和网络安全)的整个安全生命周期的解决方案。
安全生命周期可以分为以下四个阶段:
- 可见性:了解整个网络中发生的情况
- 检查:检测变化、事件和威胁
- 响应:采取行动解决事件或威胁
- 解决方案:加强网络以防止或减轻威胁的影响
如何帮助完成零信任
零信任可以通过多种方式实现,组件保持不变,唯一的区别在于如何开始零信任之旅,在 ManageEngine建议采用以身份为中心的方法。专注于身份和设备安全的企业似乎可以更快地降低安全风险,这是Forrester的“零信任实施实用指南”。
无论选择哪种方法,ManageEngine 的 IT 管理解决方案都能为您的零信任安全模型提供技术基础,或者可以填补现有方法中的安全漏洞。