传统的安全机制假设网络中的身份和设备是可以信任的,而零信任安全模型是基于这样一个事实,即默认情况下没有内部或外部用户或设备是可以信任的.零信任概念最早由ForresterResearch于2010年提出,这种认证授权方式在谷歌和思科部署零信任概念后开始流行起来。零信任是身份和访问管理(IAM)中的一个关键概念,IAM是一种旨在限制黑客访问公司网络的结构。爱尔兰阿尔斯特大学电气和电子工程师协会(IEEE)高级成员兼网络安全教授KevinCurran表示:“对零信任安全模型的需求部分是因为企业不再倾向于在内部托管数据,而不是数据托管在驻留在企业内部和外部的各种平台和服务上,大量员工和合作伙伴通过位于不同地理位置的各种设备访问应用程序,”Curran说,简而言之,“传统的安全模型不再适用”。在这篇文章中,Curran解释了企业如何开始部署零信任模型,并探讨了与零信任安全框架相关的挑战。企业应该如何创建和更新零信任模型?-trustsecurityframework?KevinCurran:为了使零信任安全有效,这里需要新的方法,例如网络分段或微分段基础根据用户和位置编辑。零信任需要部署身份和访问管理、下一代防火墙、业务流程编排、多因素身份验证(MFA)和文件系统权限。组织可以通过以下方式部署零信任安全框架:更新网络安全策略。应定期检查和审计安全策略是否存在漏洞并进行测试。对登录到网络的每个设备进行身份验证。这是通过强大的身份验证机制强制执行的,将最小权限原则应用于每个用户也很重要。部署网段。各种网络、边界和微分段将有助于保护网络。多因素身份验证。在身份验证中,每个用户都必须经过额外的身份验证步骤。定期检查用户访问权限。这可以防止经过身份验证的用户的授权过期。零信任安全模型的挑战是什么?Curran:这种零信任安全框架依赖于强大的治理流程来保护企业IT环境——这里存在很多挑战,因为在许多情况下,这迫使企业强制执行部署新流程并非易事。另一个挑战是,员工可能不会善意地承担访问计算机的额外负担以及最小权限原则强制执行的降低访问级别。这就需要企业改变员工的心态,尤其是有经验的员工。安全方面也需要体制改革,技术方面也需要下功夫,比如引入微分段,需要重新配置IP数据,确保日常业务不中断环境。这就是为什么CISO、CIO和高级管理人员应该从一开始就参与进来以确保成功。
