信息化觀察網(wǎng)

“零信任”的概念可以追溯到2010年。因?yàn)槭苄湃蔚膬?nèi)部網(wǎng)絡(luò)和不受信任的外部網(wǎng)絡(luò)已經(jīng)逐漸不再真實(shí)，而導(dǎo)致傳統(tǒng)邊界安全模型無(wú)法提供足夠的防護(hù)。這個(gè)解決方案的目的就是改變信任模型，使得沒有用戶可以自動(dòng)被信任。

如今，零信任訪問(wèn)（Zero Trust Access,ZTA）已經(jīng)成為行業(yè)的流行用語(yǔ)，許多廠商都表示他們提供ZTA解決方案。在最新的總統(tǒng)行政令中，拜登都要求強(qiáng)制推行零信任方案。雖然說(shuō)這個(gè)名詞處處可見，但是具體落地依然在拖延。落地緩慢的一個(gè)巨大原因在于人們依然對(duì)ZTA有太多的不解與困惑，比如它到底意味著什么，以及從哪開始著手。

這里有五個(gè)企業(yè)可以如何有效落地ZTA的信息。

●ZTA拋棄了間接信任

ZTA的關(guān)鍵在于知道和控制哪些人、哪些東西在自己的網(wǎng)絡(luò)上。CISO們可以以此減少因員工帶來(lái)的風(fēng)險(xiǎn)，并且移除基于間接信任運(yùn)作的系統(tǒng)來(lái)更有效地管理組織的網(wǎng)絡(luò)。

通過(guò)對(duì)用戶的接入進(jìn)行限制，同時(shí)啟用進(jìn)一步的身份認(rèn)證，ZTA可以減少隱患，從而只有合法用戶才能接入與他們身份相關(guān)的系統(tǒng)——至少是“需要知曉”等級(jí)的接入權(quán)限。

●ZTA和ZTNA不同

ZTA考慮的不僅僅是誰(shuí)在網(wǎng)絡(luò)上，還有“什么”在網(wǎng)絡(luò)上。大量增加的網(wǎng)絡(luò)連接設(shè)備可能包括從打印機(jī)到加熱通風(fēng)設(shè)備、門禁系統(tǒng)等物聯(lián)網(wǎng)設(shè)備。這些無(wú)用戶界面的設(shè)備沒有用戶名和口令來(lái)識(shí)別它們自己以及它們的角色。對(duì)于這些設(shè)備，網(wǎng)絡(luò)準(zhǔn)入控制解決方案可以發(fā)現(xiàn)和控制接入。通過(guò)使用網(wǎng)絡(luò)準(zhǔn)入控制策略，零信任最小接入原則可以應(yīng)用到物聯(lián)網(wǎng)設(shè)備，確保這些設(shè)備有足夠的網(wǎng)絡(luò)接入權(quán)限進(jìn)行他們的工作，并且不超出它們所需的權(quán)限。

零信任網(wǎng)絡(luò)接入（Zero Trust Network Access,ZTNA）是ZTA的一個(gè)組件，用于控制應(yīng)用的接入，無(wú)論應(yīng)用的用戶或者應(yīng)用本身在哪。用戶可能在一個(gè)企業(yè)網(wǎng)絡(luò)上、可能在家工作、或者其他某個(gè)地方。應(yīng)用可能存在于企業(yè)的數(shù)據(jù)中心、在私有云、或者在公共網(wǎng)絡(luò)上。ZTNA將零信任模型從網(wǎng)絡(luò)側(cè)繼續(xù)延展，通過(guò)將應(yīng)用從互聯(lián)網(wǎng)上隱藏減少攻擊面。

●網(wǎng)絡(luò)準(zhǔn)入控制是ZTA的起點(diǎn)

如果要落地ZTA，首先要知道網(wǎng)絡(luò)上所有的設(shè)備。一個(gè)網(wǎng)絡(luò)準(zhǔn)入控制解決方案可以準(zhǔn)確發(fā)現(xiàn)和識(shí)別每個(gè)在網(wǎng)絡(luò)上或者試圖接入網(wǎng)絡(luò)的設(shè)備，對(duì)其進(jìn)行掃描以確保設(shè)備并沒有已經(jīng)遭到攻擊，然后為該設(shè)備建立角色和權(quán)限。

網(wǎng)絡(luò)準(zhǔn)入控制會(huì)記錄所有設(shè)備，從用戶電話和筆記本電腦，到網(wǎng)絡(luò)服務(wù)器、打印機(jī)、以及如HVAC控制器或者安全讀卡器等無(wú)界面物聯(lián)網(wǎng)設(shè)備。

●微隔離是關(guān)鍵

一旦知道了網(wǎng)絡(luò)上有些什么，就可以用網(wǎng)絡(luò)準(zhǔn)入控制的動(dòng)態(tài)網(wǎng)絡(luò)微隔離將每個(gè)設(shè)備分配到適合的網(wǎng)絡(luò)區(qū)域。決定哪個(gè)是正確的區(qū)域會(huì)基于一系列的因素，包括設(shè)備類型、功能、網(wǎng)絡(luò)上的目的等。

網(wǎng)絡(luò)準(zhǔn)入控制同樣可以支持基于目的隔離，可以通過(guò)下一代防火墻平臺(tái)智能化分隔設(shè)備。分隔區(qū)可以基于業(yè)務(wù)目標(biāo)，比如GDPR隱私法律的合規(guī)要求，或者PCI-DSS的交易保護(hù)。在有基于目的的分區(qū)情況下，無(wú)論在網(wǎng)絡(luò)何處的資產(chǎn)，都會(huì)基于其標(biāo)簽符合合規(guī)需求，從而減少滿足合規(guī)需要的時(shí)間和成本。

●ZTA需要終端軟件

為了解決離線設(shè)備接入客戶端或者云的解決方案，需要在終端上運(yùn)行相關(guān)軟件。這個(gè)軟件必須在終端提供持續(xù)的防護(hù)以及基于行為的檢測(cè)，防止設(shè)備淪陷，無(wú)論用戶是否在線。

這類軟件同樣需要能夠通過(guò)VPN連接、流量掃描、URL過(guò)濾和沙箱能力確保遠(yuǎn)程接入安全。共享終端的安全狀態(tài)是認(rèn)證和授權(quán)流程的一部分，包括對(duì)終端進(jìn)行遙測(cè)，收集終端的操作系統(tǒng)和應(yīng)用、已知漏洞和補(bǔ)丁，以及安全狀態(tài)，從而準(zhǔn)確賦予設(shè)備接入規(guī)則。

ZTA很重要，不只是一個(gè)時(shí)髦詞

在當(dāng)下這個(gè)環(huán)境，遠(yuǎn)程辦公以及大量員工設(shè)備已經(jīng)成為常態(tài)。ZTA已然成為了網(wǎng)絡(luò)安全的一個(gè)關(guān)鍵方面。組織有機(jī)會(huì)轉(zhuǎn)向ZTA框架，以識(shí)別、分隔、持續(xù)監(jiān)控所有設(shè)備。ZTA確保數(shù)據(jù)、應(yīng)用和知識(shí)產(chǎn)權(quán)等內(nèi)部資源始終安全。

除了簡(jiǎn)化整體網(wǎng)絡(luò)以及安全管理，零信任方案同樣能增加組織中的可視化以及控制能力，包括離線的設(shè)備。ZTA應(yīng)成為任何一個(gè)有效安全策略的基礎(chǔ)。只要零信任正確落地，它會(huì)只允許正確的人或者實(shí)體快速接入完成他們工作所需要的資源，同時(shí)減少因未授權(quán)接入產(chǎn)生的風(fēng)險(xiǎn)和下線時(shí)間。