零信任安全新手?从这里开始

历史上，安全模型依赖于“城堡和护城河”类型的体系结构，具有企业网络和数据中心里面有，外围有防火墙。

位于外部的任何东西都被认为是不可信的。里面的一切都被认为是可信的。

但是，当用户是移动的或者外部合作伙伴需要访问时，基于物理位置的信任就会失效。它创造了过度的隐性信任——被攻击者滥用的信任。

了解更多:高德纳安全与风险管理峰会

进入零信任

“零信任”一词在安全产品营销中被广泛滥用。但是，作为描述从所有计算基础设施中去除隐式信任的方法的一种简便方法，它是有用的。相反，信任级别是显式地、连续地计算和调整的，以允许对企业资源进行及时、足够的访问。

“零信任是一种思维方式，而不是特定的技术或架构，”Gartner杰出副总裁分析师说尼尔·麦克唐纳．“这其实是零隐性信任的问题，因为这正是我们想要摆脱的。”

完全零信任的安全态势可能永远无法完全实现，但今天就可以采取具体举措。

高德纳建议，希望实现零信任的组织可以从两个与网络相关的安全项目开始。为什么要从网络开始呢?

TCP/IP网络连接是在可以假定信任的时代建立的。它是用来连接人和组织的，而不是用来进行身份验证的。网络地址充其量是弱标识符。零信任网络计划使用身份作为新边界的基础。

阅读更多:高德纳公司2021年安全与风险趋势排行榜

项目一:零信任网络接入(ZTNA)

在过去，当用户离开“受信任的”企业网络时，使用vpn将企业网络扩展到他们。如果攻击者可以窃取用户的凭据，他们就可以很容易地访问企业网络。

零信任网络访问抽象和集中了访问机制，以便安全工程师和员工可以对它们负责。它基于人类及其设备的身份，加上其他上下文，如时间和日期、地理位置、历史使用模式和设备姿势，授予适当的访问权限。其结果是一个更安全、更有弹性的环境，具有更好的灵活性和更好的监控。

这种转变在很大程度上远程工作在COVID-19大流行期间，人们对ZTNA产生了浓厚的兴趣，媒体头条宣称“VPN已经死亡”。

虽然VPN替代是其采用的常见驱动因素，但ZTNA通常是增强而不是取代VPN。通过允许用户访问他们需要的内容，并转移到基于云的ZTNA产品，您可以避免VPN基础设施过载。

从长远来看，这种零信任网络访问安全态势可以在人们返回办公室时继续使用。

项目2:基于身份的分割

基于身份的分割，也称为微信任分割或零信任分割，是一种有效的方法，可以限制攻击者进入网络后横向移动的能力。

基于身份的分割通过允许组织将个人工作负载转移到“默认拒绝”而不是“隐式允许”模型，减少了过度的隐式信任。它使用动态规则来评估工作负载和应用程序标识，作为决定是否允许网络通信的一部分。

在开始基于身份的分割策略时，首先从最关键的应用程序和服务器的一小部分开始进行初始实现，然后从那里扩展。

一旦实现了ZTNA和基于身份的分割，就可以转向其他举措，在整个技术基础设施中扩展零信任方法。

例如，从最终用户系统中删除远程管理权限，试用远程浏览器隔离解决方案，在数据库中加密所有静止数据公共云然后开始扫描开发人员为新应用创建的容器。