零信任安全的新趋势?从这里开始

历史上，安全模型依赖于“城堡和护城河”类型的体系结构，包括企业网络和数据中心在里面，外围有防火墙。

任何位于外部的东西都被认为是不可信的。任何内部人员都被认为是可信的。

然而，当用户移动时，当外部合作伙伴需要访问时，基于物理位置的信任就会崩溃。它创造了过度的隐性信任——被攻击者滥用的信任。

了解更多:高德纳安全与风险管理峰会

进入零信任

“零信任”一词在安全产品营销中被广泛滥用。然而，作为描述从所有计算基础设施中去除隐式信任的方法的一种简便方法，它是有用的。相反，信任级别被明确地、持续地计算和调整，以允许对企业资源进行及时、足够的访问。

Gartner杰出副总裁分析师表示:“零信任是一种思维方式，而不是一种特定的技术或架构尼尔·麦克唐纳．“这实际上是零隐性信任的问题，因为这正是我们想摆脱的。”

完全的零信任安全态势可能永远无法完全实现，但今天可以采取具体行动。

Gartner建议，希望实现零信任的组织应从两个与网络相关的安全项目开始。为什么要从网络开始呢?

TCP/IP网络连通性是在可以假定信任的时候建立的。它的建立是为了连接人和组织，而不是为了认证。网络地址充其量是弱标识符。零信任网络计划使用身份作为新边界的基础。

阅读更多:2021年Gartner顶级安全和风险趋势

项目一:零信任网络访问(ZTNA)

过去，当用户离开“受信任”的企业网络时，利用vpn将企业网络扩展到该用户。如果攻击者能够窃取用户的凭证，他们就可以轻松地访问企业网络。

零信任网络访问抽象并集中了访问机制，以便安全工程师和工作人员能够对其负责。它根据人类及其设备的身份以及其他上下文(如时间和日期、地理位置、历史使用模式和设备姿势)授予适当的访问权限。其结果是一个更安全、更有弹性的环境，具有更好的灵活性和更好的监控。

这种转变在很大程度上远程工作在COVID-19大流行期间，人们对ZTNA产生了浓厚的兴趣，媒体头条宣称“VPN已经死了”。

虽然VPN替换是采用ZTNA的一个常见驱动因素，但ZTNA通常是对VPN进行扩展，而不是替换VPN。通过允许用户访问他们需要的内容，并转移到基于云的ZTNA产品，您可以避免使VPN基础设施过载。

从长远来看，这种零信任的网络访问安全姿态可以在人们返回办公室时继续使用。

项目二:基于身份的分割

基于身份的分割，也被称为微或零信任分割，是一种有效的方法，可以限制攻击者在进入网络后在网络中横向移动的能力。

基于身份的分割允许组织将单个工作负载转移到“默认拒绝”而不是“隐式允许”模型，从而减少了过度的隐式信任。它使用动态规则来评估工作负载和应用程序标识，作为确定是否允许网络通信的一部分。

在开始基于身份的分割策略时，首先从用于初始实现的最关键的应用程序和服务器的一个小集合开始，然后从那里扩展。

一旦实现了ZTNA和基于身份的分割，就可以转向其他计划，在整个技术基础设施中扩展零信任方法。

例如，从终端用户系统中删除远程管理权限，试用远程浏览器隔离解决方案，在公共云并开始扫描开发人员为新应用程序创建的容器。