零信任架构:数据安全的全新模式
关键要点
零信任模型:将“永远不信任,只需验证”的原则应用于网络安全,确保所有用户和设备都经过验证后才能访问数据和资源。架构原理:基于最小权限原则,所有系统和数据默认锁定,只有在确保合规的情况下才允许访问。实施挑战:虽然实施零信任架构能有效防止数据泄露,但也需付出额外的IT资源和时间进行调整和监控。图片来源:Olivier Le Moal / Shutterstock

什么是零信任?
零信任是一种网络安全模型,认为无论用户或计算实体位于组织网络内外,都无法自动被信任。与传统的网络安全思维不同,零信任要求无论用户身处何地,都必须经过身份验证和授权。例如,在零信任环境中,即使用户位于公司总部或通过星巴克公共WiFi网络登录,也不能假定他们是值得信赖的。
零信任的核心原则是最小权限:系统和数据默认被锁定,只有在满足特定目标的情况下才授予访问权限。传统安全的理念可以用罗纳德里根的名言“信任,但要验证”来概括,而零信任的口号则是“永远不信任,总是验证”。
零信任这个术语由Forrester分析师约翰金德瓦格John Kindervag在2010年引入,虽然他构建在已有的概念之上。零信任的理念逐渐被许多组织接受,并且在2020年代得到了广泛应用。Exabeam的首席信息安全官凯文柯克伍德Kevin Kirkwood表示:“随着组织面临越来越复杂的网络威胁,零信任架构正在变得越来越受欢迎。”
能上twitter的加速器零信任如何运作?
为了理解零信任的运作方式,可以考虑一个简单的例子:用户访问共享网页应用。在传统安全规则下,如果用户在公司网络内部,无论是亲自到办公室还是通过VPN连接,他们可以轻松访问应用;因为处于安全边界内,他们被视为可信用户。
而零信任则采取不同的方法。在零信任环境中,用户必须经过身份验证才能使用应用,应用也需要确保用户的凭据与具有相应访问权限的用户匹配。这确保了即使有人设法混入公司网络,也无法访问受限数据或功能。此外,互相信任的理念同样适用:用户也应当能够验证应用,例如使用数字签名证书或其他类似机制,确保用户不会意外地接触到或启动恶意软件。
考虑到用户每天与系统和数据的交互数量,零信任需要覆盖的范围相当广泛。BitLyft的创始人兼首席执行官贾森米勒表示:“所有的访问请求都必须符合零信任架构的标准。”常见的验证属性包括地理位置、用户身份和设备类型。正如你所猜测的,这需要持续监控,这是唯一的验证特定用户及其设备的方式。
如何构建零信任架构
Exabeam的柯克伍德指出:“零信任模型的核心架构以建筑作为比喻,定义了控制用户从前门进入的意愿,并确保他们被授权进入房子的任何房间。”通过要求持续身份验证和严格的访问控制,零信任确保所有用户和实体在访问关键资源之前都经过验证,从而使攻击者更难深入网络造成重大损害。
关于