企业实施零信任网络可以达到什么效果?零信任网络的实施可以提高企业网络安全水平、合规审计能力和生产效率。它可以作为网络安全系统的“骨架”,与其他安全技术相连接。笔者认为,零信任网络是更符合发展趋势的IT设施建设方案。提升网络安全性零信任网络实现了身份、设备、应用的动态信任评估体系,通过信任评估对资源访问路径进行持续的访问控制。零信任技术使网络平台具备分级、一致、持续的访问控制能力。以资源为中心的安全防护在边界防护体系中,安全产品堆积在网络边界,旨在建立一道防线阻断网络攻击,而内网成为信任区,东西向流量内网缺乏最基本的访问控制能力。在内网计算机在该系统下被攻破后,攻击者可以利用设备固有的信任和授予用户的信任进一步横向移动和访问资源。零信任网络规划以资源保护为核心诉求的保护体系。通过在所有资源访问路径上建立访问控制点,汇聚资源暴露面,整合资源访问过程中的身份、设备、环境、时间等所有网络信息。空间因素判断访问行为的可信度,并以此为基础,从网络可见性、资源可见性和资源访问权限三个层面进行访问控制。身份认证统一管理典型企业IT系统建设呈现烟囱式,各系统相互独立,企业成员需要在各系统上创建账户,弱密码,各系统使用相同密码,密码不换时间长了等问题无法根除。人员流动、人员职责变动时,账户身份管理的疏漏在所难免,导致人员权限扩大,留下大量僵尸账户等问题。在网络攻击面前,这些失控的身份将成为攻击者渗透企业、获取资源的切入点。企业可以构建IAM系统统一管理身份,建立多因素和SSO认证,缓解身份失控风险,增强认证强度和可信度。但IAM系统基于应用层进行访问控制,无法防范操作系统和中间件的攻击。零信任网络在围绕资源建立访问控制点后,进一步实施以身份为中心的访问控制策略。在工程实践中,零信任架构可以与IAM系统对接,整合现有的身份和访问管理能力,从本质上扩展了IMA的角色边界,将其保护从应用层延伸到网络接入层。设备集中管理企业的办公环境越来越复杂。员工需要能够使用公司下发的资产、个人设备或移动设备访问企业资产,这对企业网络安全提出了巨大挑战。企业IT和安保人员需要面对设备黑洞问题,有多少员工自带办公设备,哪些设备目前正在被谁使用,谁的IP属于哪些设备,紧急情况下如何快速定位出现谁的设备响应事件发生异常。EPP、EDR、CWPP等主机保护安全产品可以管理设备资产,但缺乏将设备资产与企业数字身份关联的能力。零信任网络为所有设备建立标识,将设备与用户身份关联起来,将设备状态作为访问控制策略的关键因素,纳入信任度评估体系。不同的设备类型和不同的设备状态计算出不同的信任度,不同的信任度设置设置合理的资源访问权限。在实践中,设备管理可以采用灵活的解决方案,如为公司设备资产颁发专用数字证书进行唯一身份认证,员工自带设备时安装客户端软件进行基线测试等。与传统安全产品互补零信任系统可以与传统安全产品集成,也可以直接使用传统安全产品实现。以NIST的抽象零信任架构为例:策略决策点可以与IAM系统对接,实现身份信息的获取和认证授权,持续评估可以与UEBA、SOC、SIEM等系统结合,设备资产的识别和保护可以使用EDR类产品,设备资产可以安装DLP产品,实现端到端的资源保护。合规审计能力提升满足MLS2.0的解决方案MLS2.0完善了我国网络安全建设标准,其一中心三重保护理念与零信任理念高度契合。在CSA发布的《SDP实现等保2.0合规技术指南白皮书》中,CSA中国专家对SDP和MLPS技术要求的应用进行了梳理。、标识等要求具有良好的适用性。生产力提升与位置无关的办公体验企业将信息系统和资源部署在私有或云数据中心,员工通过办公室内的有线固网和企业专用WIFI接入网络获取工作所需的资源。外出员工、企业分支机构、合作伙伴通过虚拟专用网与数据中心建立连接,进行日常办公和信息交互。用户使用不同的工具来访问资源。在零信任网络下,无论员工在办公室、机场、高铁,无论资源在私有数据中心还是公有云,都可以通过零信任网络提供的“身份、设备、应用”信任链。资源。便捷的资源接入随着企业数据中心和分支机构的增多,异地数据中心众多,核心应用上云,大量使用第三方SaaS。在不同的物理设施中,工作时经常需要登录多个系统,在不同的虚拟专用网络之间来回切换。通过统一认证管理,零信任网络让员工一次登录即可获得应有的应用访问权限,同时使用部署在不同地点的应用,大大提高了工作效率和工作体验。
