傳統(tǒng)網(wǎng)絡(luò)安全防護工作會將網(wǎng)絡(luò)劃分為內(nèi)、外網(wǎng)并通過物理位置來判斷威脅程度，通常更多關(guān)注外部網(wǎng)絡(luò)的危險性，在網(wǎng)絡(luò)邊界部署防火墻、入侵防御等安全設(shè)備，構(gòu)建邊界安全防御體系。隨著移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等創(chuàng)新技術(shù)廣泛應(yīng)用，基于物理邊界的網(wǎng)絡(luò)安全防控模式正在逐步瓦解。

　　面對內(nèi)外網(wǎng)絡(luò)安全威脅變化和網(wǎng)絡(luò)邊界泛化模糊的新形勢，以零信任架構(gòu)為代表的創(chuàng)新安全防護理念應(yīng)運而生。不過在實際建設(shè)中，企業(yè)網(wǎng)絡(luò)安全團隊往往有多種創(chuàng)新安全框架可以選擇，這就需要根據(jù)企業(yè)整體安全態(tài)勢的實際需求，來選擇合適的安全模型和建設(shè)框架。多種安全方法可以同時應(yīng)用于同一家企業(yè)，比如縱深防御和零信任。

　　什么是縱深防御？

　　縱深防御一詞本身源自軍事領(lǐng)域，意指戰(zhàn)爭過程中利用地理優(yōu)勢來設(shè)多道軍事防線防御。在網(wǎng)絡(luò)安全領(lǐng)域中，縱深防御代表著一種更加系統(tǒng)、積極的防護戰(zhàn)略，它要求合理利用各種安全技術(shù)的能力和特點，構(gòu)建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業(yè)安全工作中對縱深性、均衡性、抗易損性的多種要求。

　　縱深防御策略需要結(jié)合使用多種安全工具和機制，如果一個安全工具失效或被攻擊者繞過，其他正確配置的工具可防止未授權(quán)訪問。目前，縱深防御被認為是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一，原因主要有兩個：

　　多管齊下的分層安全方法有助于確保減少安全策略之間的漏洞；

　　縱深防御有助于防止人為錯誤導(dǎo)致安全工具的配置錯誤。

　　如果沒有落實縱深防御策略，漏洞和錯誤配置將為攻擊者輕松入侵網(wǎng)絡(luò)打開大門。

　　縱深防御的技術(shù)體系

　　什么是零信任安全？

　　零信任安全在縱深防御基礎(chǔ)上，融合了更多安全控制原則的創(chuàng)新安全防護模式。零信任的目標是，永遠不要信任訪問公司網(wǎng)絡(luò)內(nèi)的應(yīng)用程序和服務(wù)，以及與之交互的任何人或機器。零信任使用最小特權(quán)原則，確保只有連接到網(wǎng)絡(luò)的合適設(shè)備和用戶以及公共和私有數(shù)據(jù)中心中的工作負載才可以傳送和接收數(shù)據(jù)。

　　零信任構(gòu)建關(guān)鍵步驟

　　構(gòu)建零信任安全需要網(wǎng)絡(luò)團隊和安全團隊的共同配合，并需要以下幾個關(guān)鍵步驟：

　　通過身份和訪問管理技術(shù)，識別試圖連接到網(wǎng)絡(luò)的用戶和設(shè)備；

　　部署具有微隔離機制的下一代防火墻系統(tǒng)，為應(yīng)用程序、文件和服務(wù)訪問確立訪問控制機制；

　　使用自動化的網(wǎng)絡(luò)檢測和響應(yīng)技術(shù)，構(gòu)建不斷監(jiān)控網(wǎng)絡(luò)和設(shè)備行為的安全運營能力；

　　評估遠程訪問，以確保適當?shù)陌踩蜕矸蒡炞C。

　　應(yīng)用價值分析

　　零信任的價值體現(xiàn)在“從不信任，驗證一切”。如采用零信任，從初步登錄到登錄之后，用戶必須不斷證明自己擁有適當?shù)臋?quán)限。這意味著，即使攻擊者滲入到系統(tǒng)中，也不一定會造成任何破壞或外泄數(shù)據(jù)。盡管零信任聽起來處處限制用戶，但它可以通過單點登錄等工具改善用戶體驗，并減少密碼管理不當方面的擔憂。

　　相比零信任，縱深防御的最大價值是，如果分層安全的某一層失效，安全架構(gòu)中的其他層已落實到位，可確保關(guān)鍵數(shù)據(jù)免受攻擊者的攻擊。分層防御還可以減緩攻擊者的速度，提高攻擊者被安全機制或安全團隊發(fā)現(xiàn)的可能性。

　　很多人會將縱深防御簡單理解為分層安全（Layered security），因為它們有著很多相似和連結(jié)。縱深防御基礎(chǔ)架構(gòu)需要具備分層抵御攻擊的安全能力，但這并不是縱深防御的全部?？v深防御不僅是技術(shù)層面的問題，同時還需要確定組織將如何響應(yīng)隨時可能出現(xiàn)的攻擊，以及對事件的報告和溯源機制。縱深防御不僅需要在技術(shù)層面具有多層化的安全工具，還要有一套與之相配合的安全管理理念與策略。

　　應(yīng)用挑戰(zhàn)分析

　　縱深防御體系的實施往往是一項艱巨的任務(wù)，而不是簡單的交鑰匙工程，它代表一種整體化的安全理念，需要持續(xù)性的運營制度來保障支撐。實施縱深防御的主要挑戰(zhàn)是，攻擊形勢每天都在變化。昨天使用的技術(shù)可能不再流行，今天使用的新攻擊技術(shù)也許能輕松繞過多個安全防御措施。

　　實施縱深防御的另一個挑戰(zhàn)是如何有效整合各層安全能力，這在一定程度上會阻礙協(xié)作流暢性，還可能降低威脅檢測速度?？v深防御有多層，也意味著安全團隊的管理也會變得更復(fù)雜。

　　基于“零信任”安全架構(gòu)雖然可更好地防御橫向攻擊，保護核心數(shù)據(jù)與系統(tǒng)，但全面實施“零信任”安全架構(gòu)難度大、代價高，甚至可能影響業(yè)務(wù)高峰時系統(tǒng)訪問性能。像縱深防御一樣，零信任安全體系的管理和運營同樣非常復(fù)雜，尤其在實施階段。企業(yè)組織的規(guī)模越大，確保系統(tǒng)應(yīng)用安全所需的身份驗證和授權(quán)就越多。零信任安全的另一個常見挑戰(zhàn)是，它需要更多的運營團隊來支撐，甚至需要使用第三方托管服務(wù)提供商。

　　應(yīng)用發(fā)展分析

　　如果單單著眼于縱深防御和零信任戰(zhàn)略各自主要實現(xiàn)的目標，我們可能以為這是兩種獨立的網(wǎng)絡(luò)安全架構(gòu)模型。事實上，它們之間有著緊密的聯(lián)系，可以相互融合發(fā)展。比如說，雖然整體縱深防御策略還包括零信任架構(gòu)之外的一些其他安全防護系統(tǒng)和數(shù)據(jù)保護功能，但可以將零信任原則可以融入到縱深防御的整體策略中。

　　縱深防御在許多方面與零信任安全理念相吻合。零信任架構(gòu)認為網(wǎng)絡(luò)上的任何用戶或設(shè)備都應(yīng)該不斷受到質(zhì)疑和監(jiān)控，以確保訪問行為的真實可靠。這種理念需要縱深防御基礎(chǔ)架構(gòu)的支撐和保障，其中重要一點就是，組織現(xiàn)有的安全工具和策略能夠?qū)Ω鞣NIT設(shè)備和業(yè)務(wù)系統(tǒng)進行有效的運行管控。

　　縱深防御的建設(shè)理念也可以融合到零信任安全部署環(huán)境中。比如說，安全管理員可以根據(jù)業(yè)務(wù)需要，嚴格鎖定用戶的賬戶，確保他們僅僅有權(quán)運行某些應(yīng)用程序和服務(wù)。此外，管理員可以創(chuàng)建邏輯隔離的安全區(qū)，以限制用戶訪問他們權(quán)限以外的網(wǎng)絡(luò)部分。如果用戶帳戶受到威脅，不僅可以對該賬戶的訪問權(quán)限進行限制，而且可以對其所在的安全區(qū)進行針對性的保護措施。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<