尽管很多安全厂商都使用“零信任”这个词,但这个词的含义并不相同。围绕零信任概念有许多解释、炒作和混淆。很多。NIST的特别出版物800-207中描述了一个更客观和中立的概念。零信任“不是一个单一的架构,而是一套工作流程、系统设计和操作的指导原则。”NIST将这些原则称为零信任“原则”。零信任的技术原则零信任是一种基于一个简单前提的网络安全模型:默认情况下,除非证明是可信的,否则什么都不可信任。零信任模型颠覆了基于网络位置或IP地址的“隐式信任”概念。在实现“信任”之前,必须对每次交互进行评估,并且必须澄清身份和上下文。具体来说,当用户或设备请求访问资源时,必须在授予访问权限之前对其进行身份验证。身份验证基于用户和设备身份以及上下文和其他属性,例如时间和日期、地理位置和设备安全状况。一旦通过身份验证,将根据最小权限原则授予访问权限,即只授予正在访问的资源。例如,用户请求访问CRM,认证通过后,CRM访问权限是授予用户的唯一访问权限,在网络上看不到其他可访问的资源。不仅如此,信任状态也在不断地被重新评估。例如,如果用户或设备的属性发生变化,则可能会撤销身份验证并删除访问权限。三个首字母缩略词:ZTA、ZTNA、ZTE零信任给人们带来困惑的主要原因之一就是各种首字母缩略词,但实际上不同的首字母缩略词有不同的侧重点。ZTA(零信任访问)主要是了解和控制谁在访问您的网络以及他在网络中做了什么。基于角色的访问控制是访问管理的关键组成部分。ZTA以最低访问策略覆盖用户终端,授予用户所需的最低级别的网络访问权限。ZTNA(零信任网络访问)是一种控制应用程序访问的方法,无论用户或应用程序位于何处。与VPN不同,ZTNA将零信任模型扩展到网络之外,并通过网络隐身减少了攻击面。ZTE(ZeroTrustEdge)是Forrester描述的一种架构。它与Gartner所倡导的SASE非常相似。它基于零信任的理念,将网络和安全融为一体。虽然中兴VS。SASE都是从边缘侧出发,将网络和安全融为一体,两者最大的区别在于中兴通讯将安全放在首位,兼顾本地和云端安全。SASE是网络和安全的对应物,安全只能由云提供。包括广域网、多云、数据中心、物联网(IoT)、家庭和远程工作空间等在内的边缘环境比传统互联网环境更具动态性和分布式,安全风险更高。因此,安全访问服务边缘(SASE)被吹捧为将安全性扩展到传统数据中心之外的最佳方式。它通过ZTNA访问云,然后通过云交付服务将网络和安全功能与广域网(WAN)功能相结合。SASE的问题在于安全性只能通过云提供,这对于具有需要访问云和本地资源的混合IT架构的组织来说价值有限。组织需要采取系统化的方法来取代网络边缘和远程用户的隐式信任,从而在整个组织内实现网络和安全的一致融合。与SASE不同,ZTE包括本地和云端,其重要组成部分如下:软件定义广域网(SD-WAN),可安全连接各种环境下一代防火墙(NGFW)可以安全地连接远程用户ZTNA以实现安全的应用程序访问中兴通讯有助于在混合IT环境中保护网络上的每个人、任何地方和所有资产,是同时在本地和云端工作的组织的可靠解决方案零信任策略。零信任概念零信任是一个概念,不是一个固定的产品架构,所以大家可以根据自己的情况分配预算,从不同的切入点来实现零信任:微隔离。每个设备都分配到适当的网络区域。分配原则可以基于诸如设备类型、功能和网络内的使用等因素。基于云的SASE解决方案难以在本地提供这种级别的控制。身份安全。确定用户在组织中的角色,并使用身份验证、授权和帐户服务、访问管理和单点登录(SSO)应用最少访问策略。基于防火墙的ZTNA。无论用户是访问云资源还是本地资源,基于防火墙的ZTNA解决方案都能正常工作。重要的是,ZTNA是通用的,适用于本地和远程用户。此外,如果VPN和ZTNA具有相同的代理,则可以简化VPN迁移。(Tailscale是一个典型的例子)在概念层面,零信任的安全模型非常简单,即“持续验证和最小特权”。难点在于,实现这一目标需要多种产品的有机协调组合,而不是简单的一堆产品。所以不要听信一些供应商的暗示,零信任绝不是一个“一劳永逸”的项目,而是一个基于持续验证和最小特权哲学的过程,以改善整体安全态势。
