前情提要

　　零信任架構(gòu)提供了一種越來(lái)越流行的方法，可以在混合云、靈活工作和持續(xù)威脅行為者的世界中最大限度地減少網(wǎng)絡(luò)風(fēng)險(xiǎn)。

　　未來(lái)，使用數(shù)字技術(shù)來(lái)支持更靈活的工作實(shí)踐將越來(lái)越流行。盡管Twitter 和Facebook等科技巨頭通過(guò)向一些員工承諾他們可以永遠(yuǎn)在家工作而成為頭條新聞，但對(duì)于大多數(shù)雇主來(lái)說(shuō)，現(xiàn)實(shí)可能更加平淡。超過(guò) 60% 的企業(yè) 計(jì)劃支持混合工作場(chǎng)所，這將涉及員工一周的部分時(shí)間在家和幾天在辦公室。然而，這也將帶來(lái)新的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

具體內(nèi)容

　　好消息是，零信任模型就是為此而構(gòu)建的。一項(xiàng)新的總統(tǒng)行政命令 已授權(quán)美國(guó)聯(lián)邦政府機(jī)構(gòu)使用它，因而作為一種日益流行的方法，以最大限度地減少混合云、遠(yuǎn)程工作和持續(xù)威脅行為者世界中的網(wǎng)絡(luò)風(fēng)險(xiǎn) 。

　　保護(hù)混合工作場(chǎng)所的挑戰(zhàn)

　　當(dāng)今的 CISO 承受著巨大的壓力，需要保護(hù)敏感的 IP 和客戶數(shù)據(jù)免遭盜竊，保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)免遭服務(wù)中斷。盡管安全支出不斷增加，但漏洞仍在繼續(xù)升級(jí)。如今，數(shù)據(jù)泄露的成本平均為每起事件近 390 萬(wàn)美元，組織通常需要數(shù)百天的時(shí)間才能發(fā)現(xiàn)并遏制這些攻擊。

　　大規(guī)模遠(yuǎn)程工作的出現(xiàn)，以及現(xiàn)在的混合工作場(chǎng)所，為威脅參與者提供了更多優(yōu)勢(shì)。單位組織面臨來(lái)自多個(gè)方面的風(fēng)險(xiǎn)，包括：

　　分心的家庭工作者更有可能點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)鏈接

　　遠(yuǎn)程工作人員使用可能不安全的個(gè)人筆記本電腦和移動(dòng)設(shè)備、網(wǎng)絡(luò)和智能家居設(shè)備

　　在家庭系統(tǒng)上運(yùn)行的易受攻擊的 VPN 和其他未打補(bǔ)丁的軟件

　　配置不當(dāng)?shù)?RDP 端點(diǎn)，很容易被先前泄露或易于破解的密碼劫持。ESET 報(bào)告稱 ，2020 年第三季度 RDP 攻擊增加了 140%

　　訪問(wèn)控制較弱的云服務(wù)（密碼不好且沒(méi)有多因素身份驗(yàn)證）

　　為什么是零信任

　　2009 年，F(xiàn)orrester 開(kāi)發(fā)了一種新的信息安全模型，稱為零信任模型，已獲得廣泛接受和采用。它是為這樣一個(gè)世界而設(shè)計(jì)的，在這個(gè)世界中，將所有安全資源放置在外圍，信任其中的所有內(nèi)容的舊確定性不再相關(guān)。由于分布式工作和云無(wú)處不在，這就是我們今天生活的世界。

　　相反，零信任建立在“永不信任，始終驗(yàn)證”的口號(hào)之上，以幫助減少違規(guī)的影響。在實(shí)踐中，存在三個(gè)基本原則：

　　這應(yīng)該包括家庭網(wǎng)絡(luò)、公共 Wi-Fi 網(wǎng)絡(luò)（例如，在機(jī)場(chǎng)和咖啡店中）甚至內(nèi)部部署的公司網(wǎng)絡(luò)。威脅行為者太堅(jiān)定了，我們無(wú)法假設(shè)還有任何安全空間。

　　如果所有網(wǎng)絡(luò)都不受信任，那么用戶也必須如此。畢竟，您不能保證帳戶沒(méi)有被劫持，或者用戶不是惡意的內(nèi)部人員。這意味著授予員工足夠的權(quán)限來(lái)完成工作，然后定期審核訪問(wèn)權(quán)限并刪除任何不再合適的權(quán)限。

　　每天我們都會(huì)聽(tīng)到有關(guān)新安全漏洞的消息。通過(guò)保持警惕的心態(tài)，組織將保持警惕，并以靈活的零信任心態(tài)繼續(xù)改善防御。違規(guī)是不可避免的——這是為了減少它們的影響。

　　零信任是如何演變的

　　當(dāng)零信任于 2009 年首次創(chuàng)建時(shí)，它是一個(gè)非常以網(wǎng)絡(luò)為中心的模型。多年來(lái)，它已經(jīng)發(fā)展成為一個(gè)完整的生態(tài)系統(tǒng)。其核心是必須保護(hù)的關(guān)鍵數(shù)據(jù)或業(yè)務(wù)流程。圍繞這四個(gè)關(guān)鍵要素：可以訪問(wèn)數(shù)據(jù)的人員、存儲(chǔ)數(shù)據(jù)的設(shè)備、數(shù)據(jù)流經(jīng)的網(wǎng)絡(luò)以及處理數(shù)據(jù)的工作負(fù)載。

　　現(xiàn)在 Forrester 添加了另一個(gè)關(guān)鍵層：自動(dòng)化和編排以及可見(jiàn)性和分析。這些集成了支持零信任所需的所有縱深防御控制。

　　在這個(gè)新的迭代中，零信任是幫助降低混合工作場(chǎng)所風(fēng)險(xiǎn)的完美方式——在這種環(huán)境中，邊界是流動(dòng)的，必須不斷驗(yàn)證分布式工作人員的身份，并且網(wǎng)絡(luò)被分割以減少威脅傳播的可能性。在大流行的過(guò)程中也很明顯，在許多情況下，VPN 無(wú)法支持大量遠(yuǎn)程工作人員——無(wú)論是在入站流量還是在補(bǔ)丁的出站部署方面。如果沒(méi)有修補(bǔ)和保護(hù)不足，它們本身也越來(lái)越成為目標(biāo)。零信任是更好的長(zhǎng)期選擇。

　　如何開(kāi)始使用零信任 ？

　　最新數(shù)據(jù)表明，近四分之三 （72%） 的組織正在計(jì)劃 （42%） 或已經(jīng)推出 （30%） 零信任。

　　事實(shí)上，您可能已經(jīng)在使用許多入門所需的工具和技術(shù)。這些包括以下內(nèi)容：

　　人員： 基于角色的訪問(wèn)控制、多因素身份驗(yàn)證、帳戶隔離。

　　工作負(fù)載： 大多數(shù)云提供商都在此處內(nèi)置控件。組織應(yīng)該使用這些來(lái)減少對(duì)不同工作負(fù)載的訪問(wèn)。并執(zhí)行良好的政策。

　　設(shè)備： 資產(chǎn)管理將幫助您了解您擁有什么。然后使用端點(diǎn)檢測(cè)和響應(yīng) （EDR）、基于主機(jī)的防火墻等來(lái)保護(hù)這些資產(chǎn)并防止橫向移動(dòng)。

　　網(wǎng)絡(luò)： 微分段是這里的關(guān)鍵。將路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備與訪問(wèn)控制列表 （ACL） 結(jié)合使用，以限制可以與網(wǎng)絡(luò)不同部分進(jìn)行通信的人員和內(nèi)容。漏洞管理也很重要。

　　數(shù)據(jù)：對(duì)您的數(shù)據(jù)進(jìn)行分類，然后對(duì)靜態(tài)和傳輸中最敏感的類型應(yīng)用加密。文件完整性監(jiān)控和數(shù)據(jù)丟失預(yù)防也有助于保護(hù)數(shù)據(jù)。

　　最后，它是關(guān)于在頂部添加安全編排和自動(dòng)化以及數(shù)據(jù)分析功能。這帶來(lái)了安全運(yùn)營(yíng)團(tuán)隊(duì)有效完成工作所需的態(tài)勢(shì)感知能力。