“零信任”的概念可以追溯到2010年。由于可信的内部网络和不可信的外部网络不再真实,传统的边界安全模型无法提供足够的保护。此解决方案的目的是更改信任模型,以便不会自动信任任何用户。如今,零信任访问(ZTA)已经成为业界的流行语,许多厂商都表示提供ZTA解决方案。在最新的总统行政命令中,拜登呼吁强制实施零信任计划。虽然这个词随处可见,但具体实施还是迟迟没有落实。落地缓慢的一个巨大原因是人们对ZTA还存在太多的困惑和不解,比如它意味着什么,从哪里入手。以下是公司有效实施ZTA的五种方法。1.ZTA放弃间接信任。ZTA的关键是了解和控制网络上的人员和内容。CISO可以使用它来降低员工带来的风险,并删除基于间接信任运行的系统,以更有效地管理组织的网络。ZTA可以通过限制用户访问来降低风险,同时启用进一步的身份验证,以便只有合法用户才能访问与其身份关联的系统——至少是“需要知道”的访问级别。2、ZTA与ZTNA的不同ZTA考虑的不仅仅是网络上有谁,还有网络上有“什么”。网络连接设备的激增可能包括从打印机到加热通风机、访问控制系统等的一切。这些无UI设备没有用户名和密码来识别它们自己和它们的角色。对于这些设备,网络准入控制解决方案可以发现和控制访问。通过使用网络准入控制策略,可以将最少访问的零信任原则应用于IoT设备,确保这些设备具有足够的网络访问权限来完成其工作,并且不会超过它们的需要。零信任网络访问(ZTNA)是ZTA的一个组件,用于控制应用程序的访问,无论应用程序的用户或应用程序本身在哪里。用户可能在公司网络上,可能在家工作,或在其他地方工作。应用程序可能存在于企业的数据中心、私有云或公共网络中。ZTNA继续从网络侧扩展零信任模型,通过将应用程序隐藏在互联网中来减少攻击面。3.网络访问控制是ZTA的出发点。如果要实现ZTA,首先要知道网络上的所有设备。网络访问控制解决方案可以准确地发现和识别网络上或试图访问网络的每台设备,对其进行扫描以确保设备没有受到损害,然后为设备建立角色和权限。网络准入控制记录了从用户的手机和笔记本电脑到Web服务器、打印机和HVAC控制器或安全读卡器等无接口物联网设备的所有内容。4.微分段是关键一旦知道网络上有什么,就可以使用网络准入控制的动态网络微分段将每个设备分配到适当的网络区域。确定哪个区域是正确的区域将基于多种因素,包括设备类型、功能、网络用途等。网络访问控制还可以支持基于目的的隔离,可以通过下一代防火墙平台智能隔离设备。隔间可以基于业务目标,例如GDPR隐私法的合规性要求或PCI-DSS的交易保护。通过基于目的的分区,无论资产位于网络的哪个位置,都可以根据其标签进行合规,从而减少满足合规性需求的时间和成本。5、ZTA需要终端软件。为了解决离线设备连接到客户端或云端的方案,需要在终端上运行相关软件。该软件必须在端点提供持续保护和基于行为的检测,以防止设备受到损害,无论用户是否在线。此类软件还需要能够通过虚拟专用网络连接、流量扫描、URL过滤和沙盒功能来保护远程访问。共享终端的安全状态是认证授权过程的一部分,包括对终端的遥测,收集终端的操作系统和应用程序、已知漏洞和补丁、安全状态,从而准确分配设备访问规则。ZTA很重要,而不仅仅是流行语在当今环境中,远程工作和大量员工设备已成为常态。ZTA已成为网络安全的一个关键方面。组织有机会转向ZTA框架来识别、分段和持续监控所有设备。ZTA确保??数据、应用程序和知识产权等内部资源始终安全。除了简化整体网络和安全管理外,零信任解决方案还可以提高组织的可见性和控制力,包括离线设备。ZTA应该构成任何有效安全策略的基础。只要正确实施零信任,它只会允许合适的人或实体快速访问完成其工作所需的资源,同时降低因未经授权访问而导致的风险和停机时间。点评从本文的建议中不难发现,零信任访问的关键之一在于网络访问控制——或者说零信任访问是现有网络访问控制的未来形态。不仅从技术层面,从逻辑层面,企业的网络也需要变革。零信任概念的扩展必然会为网络控制访问解决方案厂商开辟新的市场。
