什么是零信任安全？Zero Trust Security

什么是零信任安全？

零信任是一种安全方法，它假设网络内部或外部的任何人都不能自动被信任，因此每次用户和设备试图访问组织中的资源时，都需要进行验证。在本文中，我们将探讨什么是零信任、为什么以及如何实施它、需要注意哪些挑战以及最佳实践。

什么是零信任？

零信任，也称为无边界安全，是一种安全模型，它假设组织始终面临来自内部和外部因素的风险。零信任没有官方标准或认证机构；相反，它是一个概念框架，一种思考安全的方式。它使组织能够围绕“永不信任，始终验证”的口号构建和加强防御，这意味着企业 IT 环境中的每个应用程序、端点和用户都被视为潜在威胁。

因此，任何试图访问数字资源的用户或设备在每次访问组织网络或资产时都必须经过身份验证过程以证明其合法性。获得一次 IT 资产访问权限并不意味着用户或设备获得永久授权。每次都需要重新进行身份验证。例如，如果您在周一早上使用双因素身份验证登录您的工作电子邮件帐户，那么在周二，您将不得不再次执行相同的操作才能访问您的电子邮件。

零信任正引起各行各业各种规模组织的兴趣，因为它对数字安全采取了严格的态度，这在远程工作时代变得越来越重要。预计全球市场将从2022 年开始以 17.3% 的复合年增长率增长，到 2027 年将达到 607 亿美元。根据 Gartner 的数据，到 2026 年，10% 的大型企业将拥有成熟的零信任计划。

什么是零信任基础设施？

如上所述，零信任安全没有官方标准。零信任安全模型是多个标准的组合，通常被称为零信任的支柱，因为它们是实施零信任模型的基础。

身份

建立和管理用户和系统身份是零信任安全的基础层。在零信任模型中，以最佳方式配置和取消配置数字身份至关重要。保护身份的关键工具包括：

• 访问控制列表 (ACL)
• 身份和访问管理 (IAM)
• 单点登录 (SSO)
• 多因素身份验证 (MFA)，包括：
  • 一次性密码 (OTP)
  • 电子邮件验证
  • 生物识别

最小权限原则是这一支柱的关键，它确保用户只能访问完成任务所需的 IT 资源。例如，普通员工可能只能访问与其工作职能相关的文件和软件，而 IT 管理员则可以访问更广泛的权限来管理系统设置和安全协议。任何非必要的权限都应被撤销；换句话说，如果员工更换角色，不再需要访问特定数据库，则应立即撤销该访问权限，以最大限度地降低安全风险。

基于上下文的访问限制由用户位置、端点类型和访问时间等标准定义，确定对资源的访问范围。例如，从办公室内公司批准的设备访问系统的用户可能拥有对资源的完全访问权限，而尝试从公共 Wi-Fi 热点访问系统的同一用户可能会发现自己的功能受到限制。同样，访问可能是时间敏感的，只允许在工作时间内执行某些操作。

设备

随着智能设备和物联网的普及，确保其安全性和完整性是零信任方法不可或缺的一部分。所有连接到公司网络的企业端点、BYOD 设备和物联网机器都应置于集中式库存和管理系统中，以确保实时监控和临时身份验证。在零信任环境中，定期评估设备硬件和及时修补软件至关重要。

网络

鉴于网络充当数据传输的循环系统，确保其安全性和完整性在零信任框架中至关重要。网络微分段是其中的一个重要部分，它需要将网络划分为优化的部分，以进行隔离监控和流量控制。加密也是必不可少的，确保未经授权的用户无法访问传输中的数据。

数据

数据是至关重要的资产，防止泄露是零信任的主要目标。保护数据需要了解其整个生命周期，从收集到处置，并采用标记化、屏蔽和加密等策略。例如，医疗保健提供商可能会收集患者数据，然后标记社保号并加密医疗记录。然后可以将这些信息存储在安全的云环境中，只能通过多因素身份验证访问，确保即使发生泄露，敏感数据仍然无法读取。

彻底了解 IT 基础设施是关键，例如，通过安全信息和事件管理 (SIEM) 等监控工具。这些工具可以帮助组织实时跟踪可疑活动。假设一家零售企业使用 SIEM 监控其在线商店的流量。如果检测到来自外部 IP 地址的一系列失败登录尝试，SIEM 系统可以将其标记以立即审查，从而可能防止未经授权访问客户数据。这有助于识别漏洞、缓解违规行为和精确补救事件。

应用程序和工作负载

此支柱包括应用程序工作负载、虚拟机和容器。这些组件是 IT 基础架构中的重要通信点。零信任模型中的此类组件被视为危险组件，并受到持续监控、测试、验证和授权。

此外，自动化可确保此过程的精确性。例如，自动化工作流程可以定期检查所有虚拟机是否运行最新的安全补丁，并标记不需要立即关注的补丁。编排可以有效协调不同的工具、技术和实践。在现实世界中，编排可能意味着一旦在系统的某个部分检测到漏洞，就可以自动启动隔离受影响组件等对策，同时向安全团队发出警报。

为什么要实施零信任？

实施零信任具有可量化的优势。与采用传统安全模型的组织相比，采用零信任安全模型的组织节省了近 100 万美元的数据泄露成本。

保护传统基础设施

尽管公司通常将遗留基础设施视为安全问题，但一次性更换它们并不总是经济上可行的。医疗保健和银行业仍然严重依赖过时且高度修补的应用程序，如数据库和支付系统。这些关键的遗留系统不可能在一夜之间更换，否则会损害业务连续性。

在数字化转型计划之前和期间，零信任可以帮助保护和最大限度地利用这些易受攻击的遗留系统。例如，考虑一家仍然依赖较旧的电子健康记录 (EHR) 系统的大型医疗保健提供商。立即过渡到新系统可能会扰乱患者护理并引发各种并发症。通过实施零信任方法，医疗保健提供商可以为这个遗留系统添加额外的安全层。任何试图访问 EHR 的用户或系统都必须经过严格的身份验证和授权检查。即使在网络内，系统也会受到持续监控，以防出现异常活动或漏洞。这使医疗保健组织能够继续不间断地运营，同时逐步过渡到更现代化的基础设施。

防御网络钓鱼

网络钓鱼活动是由威胁行为者组织起来的，他们通过伪装成合法请求来从受害者那里获取敏感个人信息。网络钓鱼有多种类型，包括针对个人而非团体的鱼叉式钓鱼、针对高管等高级人员的鲸钓式钓鱼、诱骗受害者提供敏感信息的电子邮件网络钓鱼，以及将受害者重定向到伪装成熟悉网站的非法网站的网络钓鱼。

零信任功能（例如 MFA、移动设备管理 (MDM)、微分段和远程访问策略）可通过添加多层安全措施来帮助企业抵御网络钓鱼活动，这些措施可在授予网络访问权限之前验证用户身份及其设备的健康状况。这些措施通过要求提供额外的凭证或设备验证来限制成功的网络钓鱼攻击的潜在影响，从而使威胁行为者更难以利用被盗信息进行未经授权的访问。

实现安全的全球协作

越来越多的企业正在进入新市场并与外国实体合作。这意味着企业 IT 环境中将添加和互连更多的服务器、特权数字身份和端点。

零信任可通过实施严格的访问控制和持续监控来验证用户和设备的身份和可信度，从而帮助确保安全、合规和高效的通信。这可最大限度地减少攻击面并降低未经授权访问的风险，即使在复杂的跨国 IT 环境中也是如此。通过采用最小特权访问和实时验证等原则，零信任可确保只有经过身份验证和授权的实体才能访问敏感信息。

管理第三方访问风险

企业越来越依赖第三方应用程序和附加组件来增强其 IT 环境。然而，第三方漏洞占2022 年数据泄露的 13% ，仍然是一个重大威胁。易受攻击的第三方应用程序的示例包括 Chrome 和 Safari 等网络浏览器、Zoom 和 Microsoft Teams 等通信和协作应用程序以及一系列分析工具和插件。

零信任可以确保第三方实体仅获得对公司网络的最低限度访问权限，从而通过对任何外部软件或服务实施最低权限访问控制、实时监控和多因素身份验证来保持高效。这意味着第三方应用程序仅获得其绝对需要的权限，并且其在网络中的活动受到密切监控，以检测任何异常或可疑行为。

涵盖分布式 IT 基础设施

由于零信任受基于上下文的逻辑和策略的约束，因此它可以轻松涵盖分布式和可扩展的 IT 基础架构。分布式云模型具有跨 IT 环境运行的众多云基础架构和服务，包括本地数据中心、高防CDN、公共云和第三方数据中心。分布式云模型通常由单个集中式控制台控制。

借助零信任，公司可以放心地发展其多云基础设施，因为他们知道他们的安全程序可以保护快速增长的身份、设备、网络、数据、应用程序和工作负载。例如，一家在不同云上拥有多个电子商务平台的跨国零售商可以使用零信任来实施严格的访问控制和持续监控。这可以确保其复杂环境的所有部分（公共云、本地数据中心和第三方服务）都是安全的，从而实现安全且可扩展的增长。

预防恶意软件

恶意软件是任何带有恶意目的的软件。未被发现的恶意软件可能会给公司造成数百万美元的损失。最常见的恶意软件类型是勒索软件（它会锁定受害者的访问权限，直到受害者支付赎金）、间谍软件（它会秘密记录受害者的数字活动信息）和特洛伊木马（它会伪装成合法软件来劫持受害者的系统）。

零信任通过实施严格的访问控制、持续监控和自动响应协议，确保恶意软件在造成任何持久损害之前得到实时检测和补救。在零信任环境中，所有网络流量（包括来自组织内部的流量）都被视为潜在风险，并受到严格审查。文件和软件会定期扫描恶意签名，用户在访问网络资源之前必须经过多因素身份验证。任何偏离既定行为模式的行为都会触发自动响应机制，例如隔离受影响的端点或撤销访问权限，从而遏制恶意软件的传播并促进快速补救。

促进数字化转型

根据 Gartner 的调查， 89% 的董事会成员声称数字化转型是其增长战略的基础，其中 35% 的董事已经实现或正在实现数字化转型。除非通过零信任安全缓解与上述几点相关的挑战，否则数字化转型无法实现。

零信任通过为数字化公司带来全面而严格的安全态度，确保以数字为中心的增长战略安全且成功。例如，从印刷媒体转型为数字化媒体的媒体公司可以使用零信任来安全地管理增加的在线流量并保护数字资产。通过实施严格的访问控制和持续监控，公司可以专注于其数字战略，而不必担心安全漏洞。

零信任实施的挑战

虽然零信任实施具有明显的好处，但由于以下原因，它在实践中应用并不是一个简单的概念：

• 缺乏专家指导：零信任实施可能是一个极具挑战性和技术性的过程。企业在没有专家帮助的情况下，通常很难从旧的安全模式过渡到零信任，这可能会成为一项财务负担。
• 对生产力的影响：零信任的目标是简化经过身份验证的用户对关键 IT 资源的访问。然而，在实施过程中，员工可能难以访问资源并驾驭不断变化的 IT 环境，这可能会影响生产力。
• 传统 IT 基础设施：传统 IT 基础设施可能不易集成到零信任架构中，这使其成为实施过程中需要克服的障碍。
• 关键利益相关者的认可：零信任安全模型的实施需要的不仅仅是 IT 和安全团队的认可。所有关键利益相关者，包括董事会和高管，都需要对零信任充满信心，并了解它可以为整个组织带来的优势。
• 高度技术性的过程：虽然零信任更多的是一个框架而不是一项技术，但它的实施仍然是一个高度技术性的过程，可能耗费大量时间和资源。
• 成本高昂：零信任的长期优势包括通过优化预算节省成本以及通过防止数据泄露节省资金。但是，实施过程可能很昂贵，具体取决于组织的规模和 IT 环境的范围。长期成本节省通常超过短期支出，但需要前期资本投资。
• 缺乏整体战略：如果零信任实施不受整体战略的约束，即使是最细致的执行也会产生糟糕的结果。零信任实施的成功在很大程度上取决于清晰度和意图。

实施零信任的最佳实践

为了充分体验零信任的好处并克服其潜在的实施挑战，请遵循以下最佳实践。

优先考虑网络分段

企业应将其网络划分为小型且独立的微段。网络分段可以简化工作负载、实现顺畅的流量流动，并确保安全事件是孤立的且易于解决。

要将您的网络划分为独立的微分段，首先要对现有 IT 资产（例如服务器、数据库和工作站）进行盘点。使用网络映射工具可视化这些资产之间的数据流量。获得这些数据后，请咨询您的 IT 和安全团队，以确定潜在的风险点，并确定如何根据资产的功能、数据的敏感性以及它们面临的安全风险等因素来隔离资产。

使用访问控制列表 (ACL) 指定哪些用户或系统进程被授予每个微分段的访问权限。配置防火墙以根据组织先前定义的安全策略监视和控制传入和传出的网络流量。

实施软件定义边界 (SDP) 以提供更灵活、适应性更强的网络安全框架。通过组合这些元素，您可以创建一个分段网络，不仅可以增强性能和流量管理，还可以增强您的安全态势。

加密数据

数据是威胁行为者的主要目标。因此，公司应该加密所有数据，无论是静态数据还是传输中的数据，以便只有经过授权和身份验证的用户才能访问和读取这些数据。数据加密将明文转换为密文，密文只能用特定密钥解密。数据加密有两种主要类型：对称加密和非对称加密，这取决于隐藏和揭露数据的密钥是否相同。

企业最好混合使用对称加密和非对称加密。同时使用对称和非对称加密方法可以让企业平衡速度、安全性和合规性要求。对称加密速度更快，资源占用更少，是加密大型数据集的理想选择。但是，它使用单个密钥进行加密和解密，如果密钥被泄露，则会带来风险。非对称加密使用公钥进行加密，使用私钥进行解密，从而消除了对称加密固有的密钥分发问题，并增加了数字签名等功能。通过结合这两种加密方式，企业可以实现符合监管标准并能抵御各种网络威胁的分层安全方法。

定期进行红队训练

公司应定期假装入侵自己的系统，以查看其安全措施是否有效。这种做法称为“红队”，可以由公司自己的技术人员或聘请外部专家进行。目的是找出安全方面的薄弱环节。他们应该检查黑客如何入侵、他们能造成什么损害、他们在系统内能走多远，以及公司在攻击发生时发现和阻止攻击的能力。这有助于确保公司的零信任网络安全方法是有效的。

提升端点安全性

黑客越来越频繁地将目标锁定在连接到企业网络的公司设备和个人设备上。因此，企业必须专注于确保这些设备（称为端点）尽可能安全。为此，公司应保留所有此类设备的详细列表，确保它们在连接到网络之前符合某些安全标准，并控制谁可以访问给定设备上的哪些信息。

他们还应使用特殊工具来监视这些设备上是否有黑客攻击的迹象，并在检测到任何可疑情况时采取行动，例如防病毒软件、入侵检测系统 (IDS) 和端点检测和响应 (EDR) 解决方案。这些工具提供实时分析，并有助于有效识别、管理和减轻风险。例如，EDR 软件持续监控和收集来自端点的数据，以检测可能表明存在安全威胁的异常模式或行为。如果检测到潜在威胁，EDR 软件可以自动将受影响的设备与网络隔离，防止恶意软件传播并提供时间来调查和解决问题。

制定补救计划

“假设泄露”的心态认为数据泄露是不可避免的。因此，公司应始终准备好经过更新和测试的补救计划。企业必须定义可接受和不可接受的网络风险。可接受的风险通常是低优先级漏洞，不会影响业务关键流程。补救计划需要围绕不可接受的风险和关键漏洞。规划在发生安全漏洞时需要通知和参与哪些团队、利益相关者和供应商也很重要。

企业必须确定哪些补救流程将实现自动化，哪些需要人工干预。首先列出发现网络安全事件后通常采取的所有补救步骤。对于每个步骤，确定是否可以自动化，或者是否需要人工判断和操作。例如，将受感染的系统与网络隔离可以实现自动化，但决定下一步行动可能需要人工审查。将这些决定记录在补救手册中，以便团队中的每个人都知道在安全事件期间该做什么。

最重要的是，补救措施包括报告安全事件并利用这些见解来加强零信任架构的下一次迭代。事件解决后，收集所有相关数据并创建详细报告。这应该包括漏洞是什么、如何被利用、采取了哪些措施来补救以及这些措施的效果如何。与关键利益相关者分享此报告，包括 IT 团队、管理层和任何涉及的第三方供应商。使用此报告中的调查结果来更新您的零信任架构 - 这可能意味着修改访问控制、更新软件或改进监控功能。确保根据您学到的知识更新您的补救措施手册。

员工入职培训

每位员工都需要熟悉零信任安全方法，因为它对公司的整体网络安全至关重要。培训课程应该是强制性的，重点强调“最小特权”等关键概念，这意味着只给予员工完成任务所需的最低访问权限或许可。这应该不仅仅是一次性的培训；它必须融入持续的人力资源政策和员工发展计划中。员工必须充分了解他们的日常工作活动如何影响公司的安全。虽然零信任建立在各种技术和工具之上，但它的成功依赖于每个团队成员一致、负责任的行动。因此，灌输持续安全意识的文化至关重要。

结论

零信任安全对于保护多云环境中最有价值的数据和 IT 资产至关重要。借助本文中的知识，您可以应对零信任的复杂性，确保实施稳健有效的安全措施。