信息化觀察網(wǎng)

特洛伊木馬的故事是一個永恒的教訓，希臘人制定木馬計劃讓他們獲得了特洛伊人的信任，從內(nèi)部攻入了特洛伊城。如果說這種信任在幾千年前挫敗了特洛伊人的話，不幸的是，當今許多網(wǎng)絡的安全狀況與這個故事非常相似。

傳統(tǒng)上，數(shù)據(jù)中心安全性是圍繞防火墻和其他基于周邊設備的防御而建立的，這些防御措施專注于防御危險的外部力量。但是，當具有正確憑據(jù)的用戶進入外圍防御體系時，該體系結構隱含著對他們的信任，而一旦進入，就很難阻止用戶的不良行為。

因此，真正保護數(shù)據(jù)和工作負載最好的方法是采用一種不信任的模型。這種零信任安全架構正在改變數(shù)據(jù)中心的游戲規(guī)則。通過了解其一些主要優(yōu)勢，人們可以更好地保護最關鍵的組織資產(chǎn)。

刪除假設

如今，數(shù)據(jù)中心的安全性充滿了假設。假設如果有人擁有訪問網(wǎng)絡的憑據(jù)，那么網(wǎng)絡應該信任該用戶。但是當這些憑據(jù)被盜時會發(fā)生什么？在這種情況下，這種假設就會打開潘多拉的盒子，隨著威脅的不斷發(fā)展和多租戶環(huán)境變得越來越復雜，安全環(huán)境實際上變得越來越糟。

因此，人們必須完全從安全思維中刪除假設。在零信任模型中，基于每個租戶、每個應用程序或每個工作負載分配訪問權限。為此，即使用戶的憑據(jù)被盜，他們也無法自由訪問網(wǎng)絡的所有部分，而只能看到為他們定義的那些資源。此外，在零信任模型中，人們不斷評估用戶的數(shù)字身份，因此如果識別出異常行為，系統(tǒng)可以快速移動以改變訪問或減輕潛在問題。

提高數(shù)據(jù)中心的靈活性

數(shù)據(jù)中心是一個極其復雜的網(wǎng)絡，其工作負載在許多不同的環(huán)境（私有云、公共云、混合云），并且每個租戶都可以訪問資源。這種復雜性使得簡單的外圍防御能夠從投資和實施的角度讓網(wǎng)絡管理員更加關注。然而，正是這種簡單性使數(shù)據(jù)中心面臨危險，并使其在資源配置方面保持僵化。

零信任模型的一個附帶好處是它為網(wǎng)絡管理員提供的靈活性。由于可以基于每個租戶、每個應用程序和/或每個工作負載分配訪問權限，因此人們可以更好地了解系統(tǒng)資源的使用方式。人們可以根據(jù)所定義的各個訪問規(guī)則分配所需的資源，而不必將所有用戶的資源用于整個網(wǎng)絡。事實上，某些訪問甚至不需要網(wǎng)絡規(guī)定，可以定義為點對點，從而釋放更多寶貴的網(wǎng)絡資源。

防火墻的消亡

實際上，零信任安全模型需要非常精細的精度級別，其中每個端點、物聯(lián)網(wǎng)設備、用戶等都使用自己的訪問控制進行定義。在很長一段時間內(nèi)，這種復雜性使得零信任安全更像是一個夢想而不是現(xiàn)實，因為沒有什么能夠協(xié)調這種復雜性。更不用說沒有人可以刪除防火墻并在真空中運行。

然而，隨著人工智能和機器學習的進步，現(xiàn)在可以在軟件級別協(xié)調零信任網(wǎng)絡。人工智能能夠根據(jù)具體情況檢查行為，并立即對任何異常行為進行標記或采取行動。這最終意味著，隨著零信任在當前防火墻之后被廣泛實施，數(shù)據(jù)中心管理人員將意識到防火墻是多余的，因此它將不復存在。

確實，最后的轉變可能還需要幾年時間，但現(xiàn)在通過實施零信任系統(tǒng)和政策，數(shù)據(jù)中心可以開始實現(xiàn)安全性和靈活性的好處，同時為不可避免的模式轉變做好準備。更不用說這些數(shù)據(jù)中心將受到更好的保護，免受當今越來越普遍的代價高昂且日益加強的網(wǎng)絡攻擊。這種轉變需要持續(xù)的投資，不會在一夜之間完成，但所獲得的好處將是長期和深遠的。