零信任安全 | 什么是零信任网络?

零信任是一种安全模型,其基础是维护严格的访问控制并且默认不信任任何人,即便是已在网络边界内的人。

Share facebook icon linkedin icon twitter icon email icon

零信任安全

学习目标

阅读本文后,您将能够:

  • 定义零信任安全
  • 概述零信任背后的技术和原理

什么是零信任安全?

零信任安全是一种 IT 安全模型,要求试图访问专用网络上资源的每一个人和设备(无论位于网络边界之内还是之外)都必须进行严格的身份验证。没有单一的技术与零信任关联;它是一种融合了几种不同原理和技术的整体网络安全方法。

传统 IT 网络安全是基于城堡加护城河的概念。在城堡加护城河式安全中,很难从网络外部获得访问权限,但默认情况下,网络内部的每个人都受到信任。这种方法的问题在于,一旦攻击者获得了网络的访问权限,便可自由支配网络内的所有内容。

Castle-and-Moat security model, users within the VPN are trusted

公司的数据不再存放于一处,城堡与护城河式安全系统中的这个漏洞因此而加剧。如今,信息通常分散于多家云供应商处,使得对整个网络进行单一安全控制变得更加困难。

零信任安全性意味着默认情况下,网络内部外都不信任任何人,并且试图访问网络资源的每一个人都需要进行验证。已有证据表明这种附加的安全层可以防止数据泄露。IBM 最近发起的一项研究表明,单个数据泄露事故的平均成本超过 300 万美元。考虑到这个数字,许多组织现在渴望采用零信任安全策略就不足为奇了。

零信任安全背后的主要原理和技术是什么?

零信任网络背后的理念是假设网络内外都存在攻击者,因此不应自动信任任何用户或计算机。

零信任安全的另一原则是最低特权访问。也就是说,仅向用户授予必要的访问权限,就像军队中的将领仅在必要之时将信息告知士兵一样。这样能最大程度减少各个用户接触网络敏感部分的机会。

零信任网络也利用微分段。微分段是一种将安全边界划分为小区域的做法,以分别维护对网络各个部分的访问。例如,将文件存放在单个数据中心并使用微分段的网络可能包含数十个单独的安全区域。未经单独授权,有权访问这些区域之一的个人或程序将无法访问任何其他区域。

多因素身份验证(MFA)也是零信任安全的核心价值。MFA 只是表示需要多个证据来对用户进行身份验证;仅输入密码不足以获得访问权限。MFA 的一种常见应用是 Facebook 和 Google 等流行在线平台上使用的双因素授权(2FA)。除了输入密码之外,对这些服务启用 2FA 的用户还必须输入发送到其他设备(例如手机)的代码,从而提供两个证据来证明自己是声称的身份。

除了控制用户访问之外,零信任还要求严格控制设备访问。零信任系统需要监控有多少个不同的设备在尝试访问其网络,并确保每一设备都得到授权。这进一步缩小了网络的攻击面。

零信任安全的发展历史是什么?

“零信任”一词是 2010 年 Forrester Research Inc. 的一位分析师首次提出这一概念的模型时创造的。几年之后,Google 宣布他们已在其网络中实施了零信任安全,这引起了技术社区中越来越多人其采用产生兴趣。

如何实施零信任安全?

到目前为止,零信任需要安全工程师详细实施,重点是上文列出的核心原理和技术。但是,随着 Cloudflare Access 的推出,任何组织现在都可以在自己的网络上快速而轻松地实施零信任安全系统