解决边界问题
采用 Zero Trust,超越传统安全方法
对于现代企业来说,基于边界的传统网络安全时代已经结束。部分原因在于,传统的工作方式已经发生了彻底改变。一周内,现代员工可能会在小型分支机构、飞机上、家庭办公室、咖啡店,以及客户办公室等各种地点办公。
大多数技术领导者认识到,Zero Trust 安全是保护企业的传统方法的最佳替代方案。Zero Trust 安全坚持以身份为中心,持续验证的原则,这让企业能够保护资源,无论用户位于何处,使用何种设备。通过过渡到 Zero Trust 安全模型,企业可以解��决边界安全的基本局限性。
然而,许多公司尚未实现这一目标。事实上,很多企业在 Zero Trust 之旅中并未走得很远。如果用一分到十分来衡量呢?“我会打四分,”网络安全平台 Milestone 的首席执行官兼联合创始人 Menny Barzilay 说,他也是 Cytactic 的合伙人。就我个人而言,我最多打六分。
最近,我与 Menny Barzilay 以及 Cloudflare 美洲地区现场首席信息官 Khalid Kark 谈论了边界安全问题。我们提及了《2025 年 Cloudflare 信号报告》中着重强调的基于边界的传统网络安全漏洞,并且讨论了如何过渡到 Zero Trust 模型来帮助解决这些问题。
我们一致认为:在当今的威胁环境中推进 Zero Trust 旅程对于保护企业至关重要。但要做到这一点,需要的不仅仅是购买单点解决方案。
以基于身份的安全模型,取代边界安全模型
在企业过渡到采用新的安全模型之前,了解模型的起源至关重要。多年来,企业的网络安全工作重点一直是保护其网络边界,这在很大程度上取决于公司办公室的物理边界。它们使用本地数据中心的防火墙来保护网络边界。
如今,企业的办公范围扩展已远远超出了其实体办公室。员工使用基于云的应用,可以在任何地方办公。正如 Menny Barzilay 所说:“在当今的现实中,边界是一个非常值得商榷的概念。”
网络安全领导者需要采用一种全新的模型,而不是像构筑护城河保护城堡一样来保护企业。大多数人一致认为,身份将是新模型的关键。当然,这不只是仅验证用户身份那么简单。企业需要整合关于每个访问请求以及用户设备态势的额外的上下文信息。
如果企业能够做到这一点,将会收获巨大的安全回报。“有一种观念认为,如果能够解决身份问题,就能解决网络安全问题,”Barzilay 说,“如果企业了解适当的用户正在使用合适的设备访问适当的数据……那么就不存在网络安全问题。”
实施 Zero Trust 安全模型的主要目标是解决身份问题。这个模型的核心原则是:永不信任,始终验证。Zero Trust 假设企业网络内外都存在风险,而不信任所有跨越城堡“护城河”的用户(并授予他们访问所有资源的权限)。Zero Trust 工具会验证用户、上下文和设备,然后授予其对特定数据和应用的访问权限。
正如 Khalid Kark 在我们最近的讨论中所述,Zero Trust 不是特定的单点解决方案:“它实际上是一种思维模式。”Menny Barzilay 对此表示赞同:“关键在于理解并承认一点,无法‘设计信任’任何事物。必须验证一切。”
我也认为,Zero Trust 是一段旅程,从哪里开始都无所谓。但大多数企业的第一步,是识别最棘手的场景。
“如果能解决身份问题,就能解决网络安全问题。”
- Menny Barzilay
Milestone 首席执行官兼��联合创始人,Cytactic 联合创始人和合伙人
确定第一个目标:找到 Zero Trust 的关键用例
Zero Trust 安全模型可以帮助企业应对因混合办公和云资源激增而出现的一些最紧迫的威胁。例如,可以取代过时的远程访问解决方案,控制影子 IT,并简化用户安全防护。
1. 取代传统 VPN
攻击者知道,如果他们能够从单个用户那里窃取 VPN 凭据,就可以获得对企业网络的广泛访问权限。过渡到以身份为中心的 Zero Trust 安全模型有助于解决这个严重的问题。利用 Zero Trust,可以强制执行对用户的持续身份验证,并在云工作负载以及软件即服务 (SaaS) 应用中实施上下文身份验证。如果攻击者仍然设法远程访问网络,最低权限访问功能可以限制渗透范围,阻止横向移动。
使用 Zero Trust 安全模型取代 VPN 会带来额外的好处:用户在连接资源时,将获得更流畅、更低延迟的体验。与扩展 VPN 解决方案相比,您还可以更快速、更经济实惠地扩展 Zero Trust 访问的使用。而且 IT 团队可以降低管理远程和混合访问的复杂性。
2. 控制影子 IT
云提供商让采用新服务(包括 AI 服务)变得异常简单。但结��果却是,员工个人和团队经常在未咨询 IT 部门的情况下,注册使用这些服务。这种影子 IT(或影子 AI)导致越来越难以监测和保护云应用和云环境。即便使用简单的基于云的协作工具,也可能会使敏感数据面临风险。
实施云访问安全代理 (CASB)、AI 驱动型发现工具以及自动化策略执行,将其作为 Zero Trust 安全框架的一部分,有助于企业实时监测和控制对未经授权的云服务的使用情况。
3. 终结密码时代
即使攻击者利用 AI 实施更复杂的攻击策略,身份仍然是主要的攻击手段。正如报告所述,在 2024 年第一季度,Cisco 有 25% 的响应事件与用户接受欺诈性多因素身份验证 (MFA) 推送通知有关。攻击者还会通过其他方式劫持活动会话并窃取凭据,使企业面临大规模的入侵和帐户接管风险。
特别是,企业面临着诸多与身份相关的挑战:
凭据重用:根据报告,对泄露凭据的分析显示,46% 的人类登录尝试(以及 60% 的企业登录尝试)都涉及泄露的凭据。
自动化凭据攻击:对泄露凭据的分析显示,94% 的登录尝试使用来自机器人的泄露凭据,这些机器人每秒可以测试数千个被盗密码。
密码不足:静态密码,甚至基本的 MFA 方法通常都无法有效抵御各种现代威胁,包括会话劫持和防网络钓鱼凭据盗窃。
是时候摈弃传统的基于密码的安全措施了。实施 Zero Trust 访问控制,并搭配使用无密码身份验证、行为分析、自动化凭据撤销以及其他功能,可以帮助企业应对简单的静态密码和基本 MFA 的潜在风险。
确定 Zero Trust 旅程的起点
确定适当的用例后,应该盘点并审计所有应用。此举旨在确定哪些人已经拥有每个应用的访问权限,以及哪些人不应该拥有访问权限。许多 Zero Trust 旅程失败的原因,是企业没有完成这些审计工作。
此时,您可以选择一款 Zero Trust 安全解决方案。诚然,Zero Trust 更像是一种模型或理念,而不是单点解决方案。但选择适当的 Zero Trust 解决方案,让您能够执行自己制定的 Zero Trust 原则和策略。
虽然 Zero Trust 解决方案很重要,但许多企业一开始就购买了解决方案,然后停滞不前。其实�,首先要做好所有准备工作,包括选择用例和进行审计,这有助于确保您投入的时间和精力能够达到预期的效果。
对于某些组织而言,这一过程会比其他组织更容易。正如 Menny Barzilay 所说,初创公司可以从第一天开始实施 Zero Trust 安全模型,并避免取代传统解决方案的潜在障碍。但对于其他企业而言,针对特定用例(例如保护远程访问)将有助于相对快速地取得胜利,从而推动企业向前发展。
遗憾的是,大多数企业在其 Zero Trust 实施过程中未能走得很远。与此同时,这些企业必须应对 AI 的巨大潜力及其带来的担忧。虽然 AI 会增加一些新的障碍(例如:需要管理非人类身份),但 AI 将更有效地发现威胁,并自动改善企业的安全态势。
尽管如此,Khalid Kark、Menny Barzilay 和我都一致认为,推进 Zero Trust 旅程至关重要。Zero Trust 有助于弥补基于边界的安全解决方案的不足。同时,它还可以显著降低安全工作的复杂性和成本。与其管理多个工具,不如重点关注身份,采用统一的安全方法保护资源。
转为采用 Zero Trust
Cloudflare 全球连通云是一个云原生服务平台,可以简化从基于边界的传统安全模型到 Zero Trust 安全模型的过渡。例如,采用 Cloudflare Zero Trust 网络访问可以替代传统的 VPN,从而简化管理,同时增强安全态势并优化用户体验。Cloudflare 平台还提供其他服务,让您重新获得对 IT 环境的可见性和控制,并阻止基于机器人的身份攻击。这些服务共同支持您在 Zero Trust 旅程中取得进展,并淘汰基于边界的传统安全模型。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《2025 年 Cloudflare 信号报告:规模化韧性》,进一步了解 Zero Trust 安全如何帮助企业增强韧性,以及更多重要安全趋势。
作者
Steve Pascucci - @StevePascucci
Cloudflare Zero Trust 主管
关键要点
阅读本文后,您将能够了解:
为什么基于边界的传统安全模型不再足以满足需求
Zero Trust 如何成为现代安全的必然选择
从哪里开启 Zero Trust 旅程