根据2022年IBM数据泄露成本报告,超过80%的组织发生过不止一次数据泄露。到2022年,数据泄露的平均成本达到435万美元的历史新高,比过去两年增长了12.7%。过去,企业只关注保护边界和端点。根据调查,转向零信任的企业将数据泄露成本降低了20.5%。零信任安全,也称为零信任网络或零信任架构,有一个基本原则:永远不信任,永远验证。美国国家标准与技术研究院(NIST)将零信任安全定义为“一组不断发展的网络安全范式,将防御从静态的、基于网络的边界转移到关注用户、资产和资源。”该研究估计,零信任市场将从2022年的274亿美元增长到2027年的607亿美元,2022年至2027年的复合年增长率(CAGR)为17.3%。为什么我们需要零信任?今天的安全有什么问题?传统的企业安全模型基于一个错误的前提:将黑客拒之门外。组织投入大量时间和精力来使用下一代防火墙加强其边界,确保VPN访问使用多因素身份验证,并不断寻找其内部网络上的威胁。然而,我们每天都会看到有关组织遭到黑客攻击或成为勒索软件受害者的新闻报道。为什么?简而言之,进入网络的方式有很多种。黑客不仅仅依靠错误配置的设备或零日攻击来进入,他们还可以轻松地进行网络钓鱼甚至贿赂员工或承包商以保持后门打开。传统的网络安全方法是将网络划分为越来越小的网络或段,在这些网络或段之间可以插入安全控制。这使得实施精细策略或更改它们变得非常困难。另一种做法是为每个应用创建一个VLAN,但在实践中发现很难兼顾敏感资产以外的资产……另外,现代企业应用的运行环境越来越复杂,而且应用程序和数据正在逐渐从传统的企业边界转移到公共云。几十年前为简单时代而构建的防火墙、虚拟专用网络和VLAN难以支持当今企业复杂和动态的需求。让我们以工厂环境中云和资源之间的连接为例。允许云服务器连接到工厂车间机器的策略由路径上多达6-12个不同的路由器、交换机和防火墙控制,每个都可能由不同的团队管理。零信任通过将分布式策略重新定义为“谁可以访问什么”,极大地简化了这个问题。对于上面的例子,零信任架构可以显着简化跨界连接,只有一个地方可以检查配置策略和验证访问。零信任架构的原则是什么?持续监控和验证:零信任网络假设攻击者不仅存在于组织外部,而且存在于组织内部,这就是为什么没有用户或设备自动被信任的原因。零信任网络安全框架持续监控和验证用户身份和权限,以及设备身份和安全性。最小权限访问:零信任的第二个原则是最小权限访问,它赋予用户有限的访问权限,从而降低将网络敏感部分暴露给未知用户的风险。设备访问控制:在用户访问受到限制的情况下,零信任需要严格的设备访问控制,以检测尝试访问其网络的设备数量,并确保设备获得授权,以最大限度地降低安全漏洞的风险。微分段:微分段将安全边界划分为微小区域,以保持对网络不同部分的单独访问。零信任规定有权访问一个段的用户或程序将无法在没有个人授权的情况下访问其他段。多因素身份验证(MFA):MFA需要多条证据来验证用户身份,输入密码是不够的,用户还必须输入发送到其注册设备的代码才能获得授权。SASE如何适应零信任?两者有何异同?与其他安全架构类似,SASE的目标是保护用户、应用程序和数据。根据Gartner的定义,SASE(SecureAccessServiceEdge)是一种结合WAN和网络安全(如:SWG、CASB、FWaaS、ZTNA)以满足数字化企业动态安全接入需求的新兴服务。SASE是一项基于实体身份、实时上下文、企业安全/合规策略以及整个会话期间风险/信任持续评估的服务。一个实体的身份可以与一个人、一群人(分支机构)、设备、应用程序、服务、物联网系统或边缘计算场所相关联。SASE可以提供多种网络和安全功能,包括软件定义广域网(SD-WAN)、Web安全网关(SWG)、云访问安全代理(CASB)、零信任网络访问(ZTNA)和防火墙即服务(FWaaS)等核心竞争力。零信任是一种不关注某些安全技术或产品的安全概念。其核心思想强调消除访问控制中的“隐性信任”。SASE明确描述了几种基于零信任原则构建的网络和安全技术,零信任是SASE的关键基石。SASE的核心组件为实现“永不信任,始终验证”的零信任原则提供了技术支持。所有零信任解决方案都一样吗?随着企业对零信任的兴趣增加,许多网络安全供应商正在将现有解决方案重新命名为零信任,但这只是故事的一部分,还有其他解决方案,例如软件定义边界(SDP),它充当了“门户”边界。此外,由于零信任架构没有行业标准,实现方式有多种,建议采用零信任策略的客户评估以下因素:零信任愿景的完整性什么类型的网络连接是解决方案适合(仅限Web应用程序)程序吗?SSH?任何TCP/UDP流量?)该解决方案是否与分段控制本地集成易于实施端到端策略管理该解决方案是否需要基础设施升级才能在本地和云环境中有效?
